Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-03-16 16:23:56
vicool - 
Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
witryna zgloszona jako jako dokonujaca...
Witam
Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.
Przykładowe logi:
Kod:
124.122.209.142 - - [16/Mar/2010:16:05:46 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
5.1; Trident/4.0)"
124.122.209.142 - - [16/Mar/2010:16:05:47 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
5.1; Trident/4.0)"Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.
Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.
Z góry dzięki za wskazówki.
Pozdrawiam
Debian
Offline
#2 2010-03-16 18:00:47
MrWarum - Członek DUG
Re: witryna zgloszona jako jako dokonujaca...
Kod:
sh-3.2# host -a 124.122.209.142 Trying "142.209.122.124.in-addr.arpa" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3616 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;142.209.122.124.in-addr.arpa. IN PTR ;; ANSWER SECTION: 142.209.122.124.in-addr.arpa. 604697 IN PTR ppp-124-122-209-142.revip2.asianet.co.th. Received 100 bytes from 62.179.1.63#53 in 33 ms
Hmm ip z tajlandii? Twoja witryna jest aż tak bardzo popularna? Bardzo dziwne.
vicool napisał(-a):
Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.
Hmm bardzo dziwne wręcz niepokojące...
vicool napisał(-a):
Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.
Mniemam używałeś prawdopodobnie rkhunter, jeżeli tak, to na tej podstawie nie możemy wywnioskować czy system ma rootkita czy nie. Tak sądzę.
vicool napisał(-a):
Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.
Kolejny argument wskazujący na to że prawdopodobnie zostałeś zhackowany, zdarza się, nie ma co płakać nad rozlanym mlekiem. Oczywiście jest to tylko przypuszczenie, ale wiele wskazuje na to że się nie mylę.
Ostatnio edytowany przez MrWarum (2010-03-16 18:29:37)
Wir müssen wissen
Wir werden wissen
Offline
#3 2010-03-16 19:41:05
bercik - Moderator Mamut
Re: witryna zgloszona jako jako dokonujaca...
vicool napisał(-a):
Nie mam pliku login.php w katalogu images
log apacha mowi co innego ... (kod 200 oznacza ze serwer przeslal klientowi zawartosc zadanego dokumentu)
czy ta strona jest na jakims typowym silniku?
Twoj serwer (dedyk, etc) czy tylko jakis hosting www?
Ostatnio edytowany przez bercik (2010-03-16 19:43:35)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#4 2010-03-22 10:35:11
vicool - Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
Re: witryna zgloszona jako jako dokonujaca...
Witam
Problem rozwiązany winowajca totalcmd i wykradanie haseł
Pozdrawiam
Debian
Offline