+- Forum Webmastera, HTML, CSS, PHP, MySQL, Hosting, Domeny - Forum dla Webmasterów (https://www.webmastertalk.pl)
+-- Dział: Technologie internetowe - tworzenie stron WWW (https://www.webmastertalk.pl/forum-technologie-internetowe-tworzenie-stron-www)
+--- Dział: Początkujący webmaster (https://www.webmastertalk.pl/forum-poczatkujacy-webmaster)
+--- Wątek: Włamanie na stronę - proszę o pomoc (/thread-wlamanie-na-strone-prosze-o-pomoc)
Strony:
1
2
Włamanie na stronę - proszę o pomoc - ElPaso - 06-09-2011
Witam,
Mam swojego bloga na WP o turystyce www.krakowskieokolice.pl . Dziś dzwoni do mnie znajomy i mówi, że coś dziwnego się dzieje jak wchodzi na tą stronę. U siebie parze i wszystko ok. Jednak jak wyczyściłem cache itp. Okazało się że strona jest chyba gdzieś przekierowywana. Na jakiś serwis .ru .
Wszedłem do FTP i w pliku htcacces nie widzę nic dziwnego. Zacząłem sprawdzać datę modyfikacji. Usunąłem z mojej templatki jakieś bardzo podejrzane nowe pliki, które pojawiły się wczoraj i dziś. Myślałem że to pomogło ale nadal jak próbuję wejść na stronę to mam komunikat że strona jest niebezpieczna...
Proszę o pomoc - co robić? Gdzie może być zaszyte przekierowanie itp. Inna strona na tym koncie działa, ale też jest zgłoszona jako potencjalnie niebezpieczna aczkolwiek myślę, że to przez tamtą.
RE: Włamanie na stronę - proszę o pomoc - VMLine.PL - 07-09-2011
Jeśli masz zapamiętane hasła w TotalCommander bądź innym kliencie ftp - usuń je i zapamiętaj.
Ponadto przeskanuj swój PC programem antywirusowym. Również doklejony mógł zostać kod w plikach .html oraz .php - sprawdź to i usuń.
RE: Włamanie na stronę - proszę o pomoc - KowR - 07-09-2011
Kilka podstawowych pytań.
1. Gdzie hostujesz swój serwis? (nazwa firmy)
2. Jaki to jest typ konta? (shared, VPS, dedykowane, reseller)
3. Jakiego klienta FTP używasz? (np. smartftp)
4. W jaki sposób łączysz się z serwerem? (w jaki sposób)
5. Czy masz na komputerze złośliwe oprogramowanie?
6. Czy Twoje hasła są "trudne" tzn. składają się z cyfr, znaków specjalnych i liter? np. ytre#!%&][123DWA
RE: Włamanie na stronę - proszę o pomoc - ElPaso - 07-09-2011
(07-09-2011, 01:09)KowR napisał(a): Kilka podstawowych pytań.
1. Gdzie hostujesz swój serwis? (nazwa firmy)
2. Jaki to jest typ konta? (shared, VPS, dedykowane, reseller)
3. Jakiego klienta FTP używasz? (np. smartftp)
4. W jaki sposób łączysz się z serwerem? (w jaki sposób)
5. Czy masz na komputerze złośliwe oprogramowanie?
6. Czy Twoje hasła są "trudne" tzn. składają się z cyfr, znaków specjalnych i liter? np. ytre#!%&][123DWA
1. justhost.com
2. shared
3. Total commandera, mój błąd. Dziś zmieniłem na filezille. Zmieniłem też hasła do serwera (do bazy, ftp i panelu)
4. Z serwerem łącze się przez FTP.
5. Raczej nie mam, mam najnowszego kasperskiego i generalnie dbam o to, ale dziś puszcze w nocy skan.
6. hasło było trudne, nie ze słownika.
Dodam że ten serwis http://www.unmaskparasites.com/ mówi wprost że mam ukryte przekierowanie na tej stronie co podałem i na innych z tego serwera.
Przed chwilą metodycznie sprawdziłem WSZYTSKIE pliki na serwerze. Wszelkie z modyfikacją sprzed 1 - 2 dni dokładnie obejrzałem. Wywaliłem pare podejrzanych. Reszta nie było modyfikowana od miesiąca.
Ktoś ma jakiś pomysł co dalej? Może to się gdzieś w bazie danych zalęgło?
RE: Włamanie na stronę - proszę o pomoc - Pedro84 - 07-09-2011
Stawiam na TC mimo wszystko. Ile ja się syfu nausuwałem, który przez ten dziurdamer się wkradł.
RE: Włamanie na stronę - proszę o pomoc - VMLine.PL - 07-09-2011
Dokładnie, to TC, a dokładniej zapamiętane hasła...
RE: Włamanie na stronę - proszę o pomoc - ElPaso - 07-09-2011
Bardzo możliwe że to TC.
Pytanie gdzie może być zaszyte to całe przekierowanie?
RE: Włamanie na stronę - proszę o pomoc - Pedro84 - 07-09-2011
Musisz przejrzeć wszystkie pliki, index.php, pliki szablonu.
RE: Włamanie na stronę - proszę o pomoc - ElPaso - 07-09-2011
(07-09-2011, 03:21)Pedro84 napisał(a): Musisz przejrzeć wszystkie pliki, index.php, pliki szablonu.Ok, ale czy mam patrzeć tylko na te zmodyfikowane w ostatnim czasie? Czy na wszytskie, nawet te modyfikowane 3 miesiące temu. Problem na 100% pojawił się dziś.
Dostałem logi z FTP, w ciągu ostatniego roku nie logowął się przez FTP nikt spoza mojego IP (mam stałe). Czy atak mógł nastąpić w inny sposób niż FTP ? Czy ta informacja może mi w czymś pomów w trakcie poszukiwań?
RE: Włamanie na stronę - proszę o pomoc - VMLine.PL - 07-09-2011
Mógł, np. przez dziurawy skrypt.