Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-03-16 16:23:56

  vicool - Użytkownik

vicool
Użytkownik
Skąd: Szczecin
Zarejestrowany: 2005-12-05

witryna zgloszona jako jako dokonujaca...

Witam

Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.

Przykładowe logi:

Kod:

124.122.209.142 - - [16/Mar/2010:16:05:46 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
 5.1; Trident/4.0)"
124.122.209.142 - - [16/Mar/2010:16:05:47 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
 5.1; Trident/4.0)"

Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.
Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.

Z góry dzięki za wskazówki.
Pozdrawiam


Debian

Offline

 

#2  2010-03-16 18:00:47

  MrWarum - Członek DUG

MrWarum
Członek DUG
Zarejestrowany: 2010-03-06
Serwis

Re: witryna zgloszona jako jako dokonujaca...

Kod:

sh-3.2# host -a  124.122.209.142
Trying "142.209.122.124.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3616
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;142.209.122.124.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
142.209.122.124.in-addr.arpa. 604697 IN    PTR    ppp-124-122-209-142.revip2.asianet.co.th.

Received 100 bytes from 62.179.1.63#53 in 33 ms

Hmm ip z tajlandii? Twoja witryna jest aż tak bardzo popularna? Bardzo dziwne.
[quote=vicool]Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.[/quote]
Hmm bardzo dziwne wręcz niepokojące...
[quote=vicool]Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.[/quote]
Mniemam używałeś prawdopodobnie rkhunter, jeżeli tak, to na tej podstawie nie możemy wywnioskować czy system ma rootkita czy nie. Tak sądzę.
[quote=vicool]Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.[/quote]
Kolejny argument wskazujący na to że prawdopodobnie zostałeś zhackowany, zdarza się, nie ma co płakać nad rozlanym mlekiem. Oczywiście jest to tylko przypuszczenie, ale wiele wskazuje na to że się nie mylę.

Ostatnio edytowany przez MrWarum (2010-03-16 18:29:37)


Wir müssen wissen
Wir werden wissen

Offline

 

#3  2010-03-16 19:41:05

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: witryna zgloszona jako jako dokonujaca...

[quote=vicool]Nie mam pliku login.php w katalogu images[/quote]
log apacha mowi co innego ... (kod 200 oznacza ze serwer przeslal klientowi zawartosc zadanego dokumentu)

czy ta strona jest na jakims typowym silniku?
Twoj serwer (dedyk, etc) czy tylko jakis hosting www?

Ostatnio edytowany przez bercik (2010-03-16 19:43:35)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#4  2010-03-22 10:35:11

  vicool - Użytkownik

vicool
Użytkownik
Skąd: Szczecin
Zarejestrowany: 2005-12-05

Re: witryna zgloszona jako jako dokonujaca...

Witam

Problem rozwiązany winowajca totalcmd i wykradanie haseł

Pozdrawiam


Debian

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.010 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00101 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.118.28.217' WHERE u.id=1
0.00068 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.118.28.217', 1732353108)
0.00061 SELECT * FROM punbb_online WHERE logged<1732352808
0.00059 DELETE FROM punbb_online WHERE ident='185.191.171.12'
0.00061 DELETE FROM punbb_online WHERE ident='85.208.96.205'
0.00110 SELECT topic_id FROM punbb_posts WHERE id=143056
0.00005 SELECT id FROM punbb_posts WHERE topic_id=16366 ORDER BY posted
0.00063 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16366 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00133 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16366 ORDER BY p.id LIMIT 0,25
0.00081 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16366
Total query time: 0.00765 s