1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

Strona zgłoszona jako dokonująca ataków

Dyskusja w 'Hosting i domeny internetowe' rozpoczęta przez użytkownika gregre, 9 Listopad 2016.

  1. gregre

    gregre Bywalec

    Wiadomości:
    16
    Docenione treści:
    1
    Cześć,

    Przykra sprawa - dwie moje strony, które mam na jednej usłudze hostingowej w home.pl wyświetlają komunikat Strona zgłoszona jako dokonująca ataków.

    Nie dostałem jeszcze maila od administratora z informacją o plikach. Chciałbym sam przeskanować katalogi i usunąć ewentualny problem. Jak to najlepiej zrobić?

    Rozumiem, że kiedy już usunę niepożądane pliki powinienem zgłosić prośbę do google o weryfikację stron? Będę wdzięczny za wasze porady.

    Pozdrawiam,

    Grzesiek
     
  2. LorK

    LorK Przyjaciel forum Beta-tester

    Wiadomości:
    1 013
    Docenione treści:
    88
    ja mam skrypt, który raz dziennie przeszukuje wszystkie katalogi i raportuje zmiany jakie zostały wykryte na plikach (zmiana daty, rozmiaru, usunięcie czy dodanie pliku). Raz mój pracodawca zaliczył włamanie poprzez niezabezpieczony formularz i do plików były doklejane jakieś skrypty.

    Nie mając takiego mechanizmu, zrób kopię logów serwera. Następnie sprawdź logi serwer FTP i WWW (ktoś się logował, jakie pliki modyfikował). Kilka grepów rzuci CI światło na to co się działo. Jak ustalisz datę "włamania" to możesz dane IP poszukać w logach WWW. Może wyjdzie że jakiś formularz masz niezabezpieczony.
    Takie proste operacje na początek.

    Jeśli Twoje dochodzenie nic nie da, to możesz prosić adminów. Zdaje się, że oni widzą logi na dłuższym odcinku czasu.
     
    gregre lubi to.
  3. servicepl

    servicepl Stały bywalec

    Wiadomości:
    36
    Docenione treści:
    3
    Czesc!
    Przede wszystkim daj info jaka to strona (jesli mozesz[nawet na priv])), na jakiej usludze postawiona (dedyk, wspoldzielony...) i czy to czasami nie "znany CMS" (edit).
    Jesli współdzielony, to "ratuj resztę" !
     
    Ostatnia modyfikacja: 9 Listopad 2016
  4. LorK

    LorK Przyjaciel forum Beta-tester

    Wiadomości:
    1 013
    Docenione treści:
    88
    @servicepl powiesz mi jakie znaczenie mają odpowiedzi na Twoje pytania?

    w czym to pomoże?

    a jest różnica w opisywanym przypadku?

    znany czy nie znany nie ma znaczenia. Udało się komuś wejść. Nawet najlepsi mają problemy, więc nie doszukuj się na siłę bo nie o to tu chodzi.

    Z tego co pisze @gregre jest już po incydencie.więc nie bardzo rozumiem. Może jestem ignorantem...

    PS. napisz jeszcze jak ma ratować resztę :)
     
  5. servicepl

    servicepl Stały bywalec

    Wiadomości:
    36
    Docenione treści:
    3
    Myślę, że na tym forum udziela się pomocy w takich przypadkach. Im więcej wiesz, tym mniej gaf strzelisz.

    Nie jestem z tych którzy radzą: odpuść, wyczyść, jak masz kopie to odtwórz i chyba nie o to tutaj chodzi...
     
  6. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    samo określanie zmian w plikach nic nie da, są skrypty które maskują swoją obecność tak bardzo, że łatwo je pominąć, nawet daty plików i wielkości są idealne, trzeba by było sprawdzać zawartość, a to już poważniejsza sprawa.
    Strony na darmowych cmsach aby mieć pewność trzeba przejść ręcznie.
    Dodatkowo, wszelkie skrypty aktualizujemy, dziur jest tak dużo, że nie warto ryzykować.
    Dla strategicznych projektów polecam napisać samemu cmsa.
    Jeśli nie mamy ustawionej separacji dla domen wtedy dany śmieć może się rozejść głębiej.
     
  7. gregre

    gregre Bywalec

    Wiadomości:
    16
    Docenione treści:
    1
    No dobra Panowie, to co piszecie wydaje mi się nieco bardziej skomplikowane niż myślałem. Mówimy o dwóch stronach na Wordpressie (niestety nie miałem separacji). Mam za to regularnie robione automatyczne backupy. Tak myślę, że może wywalić wszystko z katalogu i wgrać backup sprzed powiedzmy miesiąca, Wtedy strony chodziły fest, a nic na nich w tym czasie nie aktualizowałem. Czy to ma sens. Poprawcie mnie, proszę, jeśli piszę bzdury.
     
    Ostatnia modyfikacja: 10 Listopad 2016
  8. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    zrób inaczej. Jak masz antywirusa to przy pobieraniu strony powinien Ci pokazać które pliki są zainfekowane, ważne abyś zabezpieczył się na przyszłość, jeśli pobierze Ci się wszystko poprawnie to porównaj pliki i sprawdź co jest nie tak.
    Po tym wszystkim separacja, przegląd wtyczek, katalogów tmp i sesji i co najważniejsze aktualizacja wszystkiego.
     
    gregre lubi to.
  9. gregre

    gregre Bywalec

    Wiadomości:
    16
    Docenione treści:
    1
    Dzięki serdeczne, Panowie!

    Oto co zrobiłem:
    1. Przerzuciłem wszystkie pliki z serwera na dysk, przeskanowałem i znalazł trojan, którego antywirus usunął. Był w katalogu css, w głównym katalogu public_html (nie w żadnym z katalogów, z plikami dwóch omawianych stron). 2. Podmieniłem plik.
    3. Zrobiłem separację wszystkich stron (przekierowanie z ustawieniem separacji serwisu, tak?).
    4. Przez panele administracyjne stron sunąłem wszystkie niepotrzebne pluginy i skóry, zaktualizowałem wszystko, co można było zaktualizować.
    5. Przeskanowałem urządzenie.
    6. Pozmieniałem hasła do wszystkich paneli, poczt no i do panelu home.pl.

    @TheL Nie rozumiem tylko: "przegląd (...) katalogów tmp i sesji"

    Czy powinienem już zgłosić strony do ponownej weryfikacji Google, czy jeszcze jest coś do zrobienia?
     
  10. Mariusz

    Mariusz pomoc.home.pl home.pl Administrator forum

    Wiadomości:
    3 060
    Docenione treści:
    301
    Napiszę tylko, że w ramach Profesjonalnych usług IT w home.pl również oferujemy przeskanowanie plików na serwerze w poszukiwaniu wstrzykniętego złośliwego kodu. Więcej informacji tutaj: https://home.pl/uslugiit#manager

    W pierwszej kolejności, jeśli pliki zostały zainfekowane niedawno (w ciągu ostatnich 3 dni), to warto spróbować z przywróceniem kopii zapasowej. Jeśli już na to za późno, to należy samodzielnie ręcznie znaleźć ten wstrzyknięty kod (np. skaner antywirusowy, logi systemowe pokazujące zmiany w plikach lub inne podejrzane oznaki). Można też za pomocą Total Commandera (funkcja znajdź tekst w plikach) spróbować znaleźć złośliwe kody i je ręcznie usunąć z plików.

    Usuwanie tego wszystkiego ręcznie jest żmudną pracą i wymaga cierpliwości. Po usunięciu, należy oczywiście zmienić wszystkie hasła do FTP (konto główne + wszystkie konta FTP), zaktualizować wszystkie aplikacje na serwerze do najnowszych wersji. Ostatecznością są już próby zainstalowania aplikacji od nowa (np. postawienie WordPressa od nowa) i skorzystanie z danych zapisanych w bazie danych MySQL, aby przywrócić stronę i dodać do niej zawartość z poprzedniej wersji strony.
     
  11. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    521
    Pisałem o sprawdzeniu zawartości wszelkich katalogów tmp, temp, session, cache itd, bardzo często siedzą tam śmieci które powodują potem zainfekowanie strony ponownie.
    Pliki należy po kolei sprawdzić ręcznie, to jedyna pewna opcja.
    Druga sprawa, nigdy nie zapamiętujemy haseł w jakichkolwiek panelach admina, programach do ftp itd. Do FTP używamy WinSCP.
     

Poleć forum znajomym