Weblap támadás

Weblap támadás
2010-02-16T08:10:30+01:00
2010-02-18T14:17:35+01:00
2022-06-29T04:42:11+02:00
szoszito
Sziasztok!

Történt egy támadás a weblapom ellen.

A Google-ben ha rákeresek az oldalamra, akkor az oldal neve bejön szépen kékkel kiemelve aláhúzva, de alatta mindenféle mocskos dolgok vannak felsorolva törökül.
Megnéztem a lapom forráskódját, de nem látom ezeket a szavakat sehol, nem tudom kitörölni. Mi ilyenkor a teendő?
Tud valaki segíteni?
Mutasd a teljes hozzászólást!
Szia!

Leírom miket csinálj.
Nálad van egy féreg, ami ellopta az ftp jelszavaid, és mindig újraírja a szerveren lévő file-okat.
Leggyakrabban index.php aljára tesz valamit, de bárhol lehet.

1. Leszedsz egy tűzfalat. pl: comodo
2. Vírus irtod a gépet, ha nem talál semmit, leszedsz másikat. pl: avast
3. Megváltoztatod az ftp-jelszót.
4. Átnézed a kódod, és kitörlöd a szemetet, vagy visszatöltöd a régebbi biztonságosat
6. Megvárod, vagy meghívod a robotot. (esetleg Google Webmasters-be szétnézel.)
6. Örülsz

W
Mutasd a teljes hozzászólást!

  • Leveszed a weblapodat és visszarakod a korrumpálatlan eredetit. Vélhetően van mentésed...
    Mutasd a teljes hozzászólást!
  • Ezt próbáltam, de ugyanaz maradt.
    Mutasd a teljes hozzászólást!
  • Akkor lehet, hogy nem is téged hanem a szolgáltatót törték? Ők mit mondanak?
    Mutasd a teljes hozzászólást!
  • Nekem úgy van a weblap, hogy egy IIS van az XP-n és ott konfiguráltam a dogokat.
    Mutasd a teljes hozzászólást!
  • Szia!

    Sajnos több módja is létezik egy weblap feltörésének (pontosabban bizonyos kódok elrejtésének), amit ki is használnak.

    Talán az egyik legelterjedtebbről itt olvashatsz: ::: XSS (Cross Site Scripting) :::

    Itt találhatsz néhány példát, hogy miket fertőzhetnek meg (és milyen módszerekkel):

    - *.htc fájlok
    - *.js fájlok
    - stb...
    Mutasd a teljes hozzászólást!
  • Egyszer kb 1 hete észrevettem, hogy új állományok kerültek a weblapom root könyvtárába: home.html, index.html, default.html.

    Mindegyikben ugyanaz a török, vagy nemtudom milyen szöveg állt. Ez 4-5 szó volt, de nem csúnyák.

    Aztán most meg ez van.
    Érdekes, hogy ha Yahoo-val keresek az oldalamra akkor semmi ilyesmi probléma nincs, nincsenek a csúnya szavak.
    Arra gondoltam még, hogy lehet, hogy akkor járt nálam a google robot amikor az új állományok oda kerültek , és amit akkor talált azt mutatja most is. Tehát hiába újra másoltam az oldalt meg kell várni amíg újra arra jár a robot és akkor már nem lesz ez a probléma!??!

    Vagy a Google-nak kellene írnom?
    Mutasd a teljes hozzászólást!
  • Szia!

    Leírom miket csinálj.
    Nálad van egy féreg, ami ellopta az ftp jelszavaid, és mindig újraírja a szerveren lévő file-okat.
    Leggyakrabban index.php aljára tesz valamit, de bárhol lehet.

    1. Leszedsz egy tűzfalat. pl: comodo
    2. Vírus irtod a gépet, ha nem talál semmit, leszedsz másikat. pl: avast
    3. Megváltoztatod az ftp-jelszót.
    4. Átnézed a kódod, és kitörlöd a szemetet, vagy visszatöltöd a régebbi biztonságosat
    6. Megvárod, vagy meghívod a robotot. (esetleg Google Webmasters-be szétnézel.)
    6. Örülsz

    W
    Mutasd a teljes hozzászólást!
  • Vagy csak pusztán meg kellene várni, míg a google újraindexeli az oldalad, ami esetleg egy hónapig is eltarthat (PR szinttől függően).......

    Természetesen normális jelszót használj FTP--n és lehetőleg havonta 1x min változtasd meg.

    A mi lapunkat is feltörték, és a szolgáltató csak annyit tudott írni, hogy BOCS, DE EGY KÖNNYŰ MÓDSZERREL FEL KI TUDJÁK GYŰJTENI AZ ÖSSZES JELSZÓT A SZERVERÜKRŐL, ÉS ÍGY MINDENFÉLE KÁRTÉKONY VAGY REKLÁMOT TEHETNEK BELE, NEM TUDNAK MIT TENNI....


    Mutasd a teljes hozzászólást!
  • Ehhh.. azért ez elég kemény szolgáltató lehet.. :)

    Inkább az jellemző, hogy a user feltölt valami netről leszedett "nagyon profi" php-s cumót (vagy csak nem frissíti azt 4 évig, mert nem ért hozzá, de legalább ingyen van..) amit aztán agyonhekkelnek a neten bárhol megtalálható, közzétett egyszerű módszerekkel - hiszen a forráskódot ugye mindenki eléri, mert nyilvános.. Így nem nehéz benne megkeresni a gyenge pontokat..
    Ezek után a gugli indexeli a felnyomott lapot, aztán lásscsodát :)
    Esetleg nézd meg a forrást, van-e benne valahol iframe vagy javascript, amiben sok kriksz-kraksz van.. :)

    Az iframe-es módszer esetén aztán keresheted a vírust a gépeden :)
    Mutasd a teljes hozzászólást!

  • Nagyon-Nagyon IGAZ amit mondol Slow!

    Szoszito neked pedig itt egy link: ::: csak írd be a honlapod címét ::: ahol ellenőrizheted, hogy hol is van a hiba.
    Mutasd a teljes hozzászólást!
  • Nos, kipróbáltam amiket írtatok!

    A Spybot talált 2 ilyet: Microsoft.Windows.Security.FirewallOpenPort

    (De ami nekem nagyon fura, az az, hogy ha Yahoo-val keresek az oldalamra, akkor nincsenek ott ezek a szavak, ha Google-al akkor meg igen.
    Akkor én már nem is tudok semmit tenni? Várnom kell a google robotot? Vagy írkáljak a html-embe egy csomó szép szót? )
    Mutasd a teljes hozzászólást!
  • Beírkáltam egy csomó meta tag-ot a weblapom elejébe. Innen. Csak lesz valami.
    Mutasd a teljes hozzászólást!

  • Ez egy kicsit hosszú leírás lesz, de megpróbálom érthetően elmagyarázni.

    Akkor kezdjük!

    Szóval elgondolkodtál már azon, hogy hogyan lehetséges az, hogy itt a PCFORUM.HU oldalon valaki beír egy témakört és 5-10 perc múlva a GOOGLE KERESŐJÉBEN AZ ELSŐ 5-BEN benne van a találat. Azért mert akik ezt a weblapot szerkesztik nagyon-nagyon értik a szakmájukat.

    A ::: GOOGLE ::: és a ::: YAHOO ::: sitemap.xml fájljainak egymáshoz SEMMI KÖZE.

    Aki egy kicsit is járatos a ::: SITEMAP.XML GENERÁLÁS :::-ában az vagy egy ilyet vagy előfizet rá vagy készít egyet.

    Szóval nem olvastad végig a linket amit küldtem, vagy nem értetted meg. Arra próbáltam felhívni a figyelmedet, hogy a TÁMADÓK nem biztos, hogy a *.html vagy a *.php fájlodat fertőzték meg, hanem ez lehetett:

    *.css
    *.js
    *.xml

    A legutolsó linkkel pedig arra céloztam, hogy próbáld meg hanyagolni a külsős hivatkozásokat (főleg a külföldieket).
    Itt akár egy egyszerű RSS fájl hivatkozásakor (*.xml; *.rds; stb..) is meg tudják fertőzni a szerveredet.

    Microsoft.Windows.Security.FirewallOpenport leírása.


    Mutasd a teljes hozzászólást!

  • Az előbb ez még lemaradt!

    Egy weblap (most normális honlapról beszélek, nem ilyen
    PISTIKÉS FÉLÉRŐL
    ) elkészítése CSAPATMUNKA! 1 ember mindenre nem tud odafigyelni, ez képtelenség. Ameddig 1 ember csinál mindent az csak BOHÓCKODÁS. Szóval ha össze szeretnél állítani egy normális website-t, akkor minimum 3 vagy több fő legyen (persze ez nagyban függ a honlap tartalmától is [Értsd: Fórum; WebShop; stb...]).

    * PROGRAMOZÓ(K)
    * GRAFIKUS(OK)
    * SEO SZAKEMBER(EK)
    Mutasd a teljes hozzászólást!
  • Ezért írtam le még az elején a pontokban a Webmasters-t.

    W
    Mutasd a teljes hozzászólást!
  • "Megnéztem a lapom forráskódját, de nem látom ezeket a szavakat sehol, nem tudom kitörölni. Mi ilyenkor a teendő?"
    Az alábbi lehetőségek lehetnek:
    * Egy CMS-t (Mambo, Drupal, e107)/blogmotrot (Wordpress)/egyéb szerver oldali nyelven (PHP, ASP, JSP, CFML, Perl,...) megírt oldalt használsz, ami a látogatóktól fogad (és tárol) adatokat, és a bemenetet fogadó űrlapról jövő adatokat nem szűröd. Ha ezeket az adatokat meg is jeleníted könnyen megeshet, hogy egy rosszakaró trükkös HTML-kódokat - Javascript nyelven megírt szkripteket, soron belüli keretet illeszt be az oldalba. Ezt nevezik XSS támadásnak.

    Ha SQL adatbázist is használsz, olyan is megeshet, hogy az űrlapon, vagy az URL-len keresztül SQL-lekérdezéseket küldenek, és ha ezeket nem szűröd, és szimplán felhasználod a saját SQL-lekérdezéseidben a kapott adatokat, a küldött SQL lekérdezések lefutnak és kárt okoznak. Ez utóbbit SQL-Injection támadásnak nevezik.

    * Ha FTP tárhelyet is üzemeltetsz, megeshet, hogy az FTP-tárhely eléréséhez szükséges adatokat egy trójai megszerzi és elküldi valami rosszarcú bűnözőnek. Így könnyedén letöltheti és felülírhatja a tárhelyen levő állományokat.

    * Az is megeshet hogy a webszerver valamilyen sérülékenységét kihasználva jutnak be hozzád.

    Ha mindezeket kijavítottad, a Google-nak újra be kell indexelnie a weboldalt, hogy a tárolt változat a nem fertőzött legyen.

    woodoo4 már elmondta a tennivalókat. Én még annyitt tennék hozzá, ha szerver oldali szkriptet használsz, ügyelj a látogatóktól fogadott adatokkal- szűrd őket.
    Itt olvashatsz a témáról.

    Illetve itt találhatsz egy eszközt, amivel ellenőrizheted, hogy az oldalad tartalmazhat-e kártékony kódot.

    A többi hozzászólásra reflektálva:
    "BOCS, DE EGY KÖNNYŰ MÓDSZERREL FEL KI TUDJÁK GYŰJTENI AZ ÖSSZES JELSZÓT A SZERVERÜKRŐL, ÉS ÍGY MINDENFÉLE KÁRTÉKONY VAGY REKLÁMOT TEHETNEK BELE, NEM TUDNAK MIT TENNI...."
    Én egy másik esettel találkoztam (sőt több üzemeltető találkozott már ezzel a problémával).
    A tárhely felhasználója FTP-n keresztül éri el a szervert.
    Vírusos lesz a gépe, és egy trójai elküldi az FTP-tárhely adatait valami rosszarcú bűnözőnek.
    A bűnöző meg letölti a honlap eredeti HTML-állományait, hozzáteszi az ártó Javascript-kódokat/soron belüli kereteket, majd a módosított állományokat feltölti.

    A tárhely üzemeltetője meg alig tud tenni valamit, ugyanis a tárhelyen eléggé nehéz kiszűrni mindezeket (a felhasználónak kéne rendes vírusvédelmet feltennie!).
    Amit tehet, hogy a felhasználó rendelkezésére bocsájt egy adminisztrációs felületet, amin beállítható, hogy az FTP-tárhely honnan, milyen IP-címről érhető el.

    "Egy weblap (most normális honlapról beszélek, nem ilyen PISTIKÉS FÉLÉRŐL) elkészítése CSAPATMUNKA!"
    Azért sok szabadúszó webfejlesztő van, aki a marketing/grafikai/programozási (akár kliens oldalon - XHTML,CSS,Javascript - akár szerver oldalon - PHP,ASP,JSP,CFML)/SEO szempontból képes professzionális munkát csinálni egymaga.
    Mutasd a teljes hozzászólást!
  • Azért sok szabadúszó webfejlesztő van, aki a marketing/grafikai/programozási (...)/SEO szempontból képes professzionális munkát csinálni egymaga.


    Ne is haragudj de ezzel nagyon nem értek egyet.
    Néhány ellenérv:

    1. Marketing: Igen ezt valóban meg lehet tanulni, de ehhez inkább tehetség kell. Nekem mondhatnák, hogy adjam el ezt a (szoftvert stb..) ha egyszerűen nincs olyan beszélőkém amivel rá tudnám venni az ÜGYFELE(KE)T, hogy ezt a terméket vegyék és NE A MÁSIKAT.

    2. Grafika: Nekem adhatnának a kezembe XX Mpx-es fényképezőt, akkor se készítenék olyan képet, mint egy fényképész vagy grafikus. Ennél a szakmánál nem elég a tanulás, hanem én szerintem egy ISTEN ADTA TEHETSÉG is szükséges. Most mondhatnád, hogy vannak garfikus programok (PhotoShop; stb...) amivel retusálni lehet. Ez is egy szakma, nem is akármilyen nehézségekkel.

    3. Programozó: Tudod minden nyelvet meg lehet tanulni, csak IDŐ KÉRDÉSE! Tudod a kezdő és a profi programozó között van egy nagy különbség. Mégpedig az, hogy a profinak sok előre elkészített forráskódja van, amit csak be kell építenie a programjába, majd módosítania kell néhány dolgot (+ egy programot meg lehet írni 1000 sorban is, de a PROFI ezt meoldja akár a negyedéből is). Ezzel szembe a kezdőnek ilyen nincs (marad a NET, már ha segítenek neki).

    Szóval ha ezt a 3 dolgot időben és minőségben [PROFESSIONÁLIS] összeadod, akkor rá kellene jönnöd, hogy valami nem stimmel. Erre mondtam én, hogy 1 ember munkája egy weblapnál csak BOHÓCKODÁS.

    Ui.: AKI MINDENHEZ ÉRT, AZ NEM ÉRT SEMMIHEZ SE!
    Mutasd a teljes hozzászólást!
  • Persze mindenhez kell tehetség, de ha már adott egy jó kommunikációs képesség, egy megfelelő kreativitás (ez éppenséggel jó segítség mind a programozásnál, mind a grafikánál), akkor a többit meg lehet tanulni.

    Sok szabadúszó webfejlesztőt ismerek itthon, külföldön meg se szeri, se száma a "freelancer" fejlesztőknek, úgyhogy nem érthetsz velem egyet, de a gyakorlat mást mutat - léteznek olyan emberek akik mindezt egyszerre képesek művelni - annak ellenére, hogy a csapatmunka hatékony.
    Mutasd a teljes hozzászólást!
  • Azért néha látunk rá példát, hogy a kevesebb néha több.
    Mutasd a teljes hozzászólást!
  • Megoldódott a problémám.

    Leírom, hogyan, hátha valakinek segít még!

    - Megszüntettem minden ftp hozzáférést /woodoo4 tanácsára/
    - Spybot-tal leszedtem a kórokozókat(Microsoft.Windows.Security.FirewallOpenPort) /szintén woodoo4/
    - teleraktam meta tag-ekkel a kezdőlapot (<META NAME="ROBOTS" CONTENT="NOODP"> -ez is hasznos lehetett)
    - ::: GOOGLE ::: /720228 tanácsára/
    - összességében mindenki segített, nem csak abban, hogy megoldódjon a probléma, hanem felnyitni a szemem, hogy legyek kicsit óvatosabb. KÖSZÖNÖM MINDENKINEK, aki hozzászólt.

    Na most a pontot kinek adjam? Gyakoroljuk demokratikus jogainkat és szavazzunk... aki 5 szavazatot kap nyert!

    Bocs, de tényleg nem tudom eldönteni. woodoo4 vagy 720228 ?
    Mutasd a teljes hozzászólást!

  • Én nem a pontokért segítek!


    Add a pontot woodoo4-nek.

    Nekem annyi elég, hogy MEGKÖSZÖNTED (ha még meg is fogadod a tanácsot, akkor nem koptattam az újjaimat feleslegesen).
    Mutasd a teljes hozzászólást!
  • Mutasd a teljes hozzászólást!
abcd