Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-03-16 16:23:56
vicool - 
Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
witryna zgloszona jako jako dokonujaca...
Witam
Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.
Przykładowe logi:
Kod:
124.122.209.142 - - [16/Mar/2010:16:05:46 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
5.1; Trident/4.0)"
124.122.209.142 - - [16/Mar/2010:16:05:47 +0100] "GET /images/login.php HTTP/1.1" 200 13 "http://www.pccl.ac.th/school/xnormal
list.asp?aLevel=3&aYearth=3&aEDBE=2552&aCode=\xe0\xb8\xaa33101&aInCase=(TRANSCRIPTS.Grade IN ('0','1','2','3','4','\xe0\xb8\xa
3','\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\x9c','\xe0\xb8\xa1\xe0\xb8\xaa','X') )" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
5.1; Trident/4.0)"Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.
Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.
Z góry dzięki za wskazówki.
Pozdrawiam
Debian
Offline
#2 2010-03-16 18:00:47
MrWarum - Członek DUG
Re: witryna zgloszona jako jako dokonujaca...
Kod:
sh-3.2# host -a 124.122.209.142 Trying "142.209.122.124.in-addr.arpa" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3616 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;142.209.122.124.in-addr.arpa. IN PTR ;; ANSWER SECTION: 142.209.122.124.in-addr.arpa. 604697 IN PTR ppp-124-122-209-142.revip2.asianet.co.th. Received 100 bytes from 62.179.1.63#53 in 33 ms
Hmm ip z tajlandii? Twoja witryna jest aż tak bardzo popularna? Bardzo dziwne.
[quote=vicool]Nie mam pliku login.php w katalogu images poza tym tworzy się tam katalog "s" a w nim jakieś pliki.[/quote]
Hmm bardzo dziwne wręcz niepokojące...
[quote=vicool]Serwer przeskanowany raczej rootkitow i virusów brak kod stronki tez raczej czysty.[/quote]
Mniemam używałeś prawdopodobnie rkhunter, jeżeli tak, to na tej podstawie nie możemy wywnioskować czy system ma rootkita czy nie. Tak sądzę.
[quote=vicool]Od kilku dni mam pewna zagwozdkę mianowicie wpisując adres mojej stronki dostaje komunikat ze witryna została zgłoszona jako dokonująca ataków. Zaobserwowałem także duży wzrost połączeń do mojej strony z podejrzanych adresów.[/quote]
Kolejny argument wskazujący na to że prawdopodobnie zostałeś zhackowany, zdarza się, nie ma co płakać nad rozlanym mlekiem. Oczywiście jest to tylko przypuszczenie, ale wiele wskazuje na to że się nie mylę.
Ostatnio edytowany przez MrWarum (2010-03-16 18:29:37)
Wir müssen wissen
Wir werden wissen
Offline
#3 2010-03-16 19:41:05
bercik - Moderator Mamut
Re: witryna zgloszona jako jako dokonujaca...
[quote=vicool]Nie mam pliku login.php w katalogu images[/quote]
log apacha mowi co innego ... (kod 200 oznacza ze serwer przeslal klientowi zawartosc zadanego dokumentu)
czy ta strona jest na jakims typowym silniku?
Twoj serwer (dedyk, etc) czy tylko jakis hosting www?
Ostatnio edytowany przez bercik (2010-03-16 19:43:35)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#4 2010-03-22 10:35:11
vicool - Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
Re: witryna zgloszona jako jako dokonujaca...
Witam
Problem rozwiązany winowajca totalcmd i wykradanie haseł
Pozdrawiam
Debian
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00011 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00092 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.222.113.135' WHERE u.id=1 |
| 0.00075 | UPDATE punbb_online SET logged=1732351144 WHERE ident='18.222.113.135' |
| 0.00045 | SELECT * FROM punbb_online WHERE logged<1732350844 |
| 0.00062 | DELETE FROM punbb_online WHERE ident='3.145.105.149' |
| 0.00081 | SELECT topic_id FROM punbb_posts WHERE id=143063 |
| 0.00128 | SELECT id FROM punbb_posts WHERE topic_id=16366 ORDER BY posted |
| 0.00058 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16366 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00076 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16366 ORDER BY p.id LIMIT 0,25 |
| 0.00075 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16366 |
| Total query time: 0.00712 s | |