Wpis z mikrobloga

Skopiuj link

konto usunięte 17.06.2023, 07:29:33

Coś dokleja mi do kodu html strony scrypt, który przekierowuje do różnych dziwnych stron. Zmieniłem hasło do FTP, przywróciłem kopię zapasową i przez kilka godzin było ok. Po czym znowu się zaczęło.

Dopiszę, że zaczęło się wczoraj po tym, jak miałem otwartą sesję FilleZilla, wysłałem poprawiony skrypt, a następnie odpaliłem strims.world. Nie wiem czy ma to związek, ale nawet jakby jakiś malware wykradł hasło do ftp, to zmiana powinna pomóc. W jaki inny sposób mogą atakować? Serwer w ovh.
#it #programowanie #ovh #sieci #php #informatyka

reveil

17.06.2023, 07:34:42 via Android

@xxxzzz Może masz keylogger na kompie. Jak zmieniasz hasło to keylogger je przechwyca.

x.....z

konto usunięte 17.06.2023, 07:50:12 via Wykop

@reveil: używam wbudowanego w windowsa anwywira, przeskanowałem teraz jeszcze avastem i nic nie znalazło.

CherryJerry

17.06.2023, 08:16:20 via Wykop

Treść przeznaczona dla osób powyżej 18 roku życia...

x.....z

konto usunięte 17.06.2023, 08:25:48 via Wykop

na strimsy wchodzi się z zwłączonych ublockiem

@CherryJerry: używam Adblock Plus. Ublock lepszy?

CherryJerry

17.06.2023, 08:57:46 via Wykop

@xxxzzz: jest szybszy i mniej zajmuje pamięci, ale chyba innych różnic pomiędzy nimi nie ma. Jeżeli to nie przez strimsy wlazło, to nie wiem, ale pierwsze co to sprawdziłbym (po zmianie hasła) na innym - czystym - komputerze, czy to sie dzieje.

x.....z

konto usunięte 17.06.2023, 09:56:08 via Wykop

@CherryJerry: atakowana jest baza danych i scrypt dopisywany jest bezpośrednio do rekordów. Zmieniłem hasło root, ftp, do bazy. Nic nie pomaga. Dosłownie po chwili od przywrócenia baza jest atakowana.

BusinessMoose

17.06.2023, 10:10:16 via Wykop

@xxxzzz: przeskanuj jeszcze za pomocą eset online scanner, dużo lepszy od avasta i defendera.

CherryJerry

17.06.2023, 10:18:07 via Wykop

@xxxzzz: jakiś crontab na serwerze? Co jest na ftp wgrane? Są jakies ukryte pliki. Ja nie mam pomysłu :<

OVH jest we Francji, a tam trzesienie ziemi było, kto wie :P

maryce

17.06.2023, 10:36:25 via Wykop

@xxxzzz: a może masz jakąś dziurę w swojej aplikacji?

x.....z

konto usunięte 17.06.2023, 11:15:54 via Wykop

jakiś crontab na serwerze? Co jest na ftp wgrane?

@maryce @CherryJerry: aplikacja oparta na Zend Framework. Ogólnie jak ustawię błędne hasło do bazy danych i strona nie działa, to do żadnego nadpisywania nie dochodzi. Jak tylko ustawię prawidłowe hasło do bazy i strona staruje, to po paru sekundach do rekordów w tabeli w bazie danych dopisywane jest skrypt spamerski. Nie wiem co robić.

ujdzie

17.06.2023, 11:25:20 via Wykop

@xxxzzz: ja bym sprawdził logi (access i error), możliwe, że masz gdzieś jakiś backdoor

wypokowy_expert

17.06.2023, 12:28:40 via Wykop

@xxxzzz: pierwsza rzecz zmienić hasła korzystając z innego urządzenia, pozamykać stare sesje. Jak dalej będzie się dopisywać to problem jest na serwerze

x.....z

konto usunięte 17.06.2023, 12:38:55 via Wykop

@reveil: @wypokowy_expert @CherryJerry udało się. Koledzy @ujdzie i @maryce mieli rację, była dziura i doszło do najprostszego SQL injection, a ja debil skupiłem się na tych hasłach i dostępie do FTP. Chociaż zastanawia mnie jak pozyskał nazwy tabeli i kolumn.

Lekcja na przyszłość, można było rozwiązać to w 5 minut, a ja pół dnia straciłem i w cholerę nerwów.

Dziękuję za pomoc!

sharik

18.06.2023, 05:00:38 via Wykop

@xxxzzz: jak był sql injection to zdobycie nazw tabel i kolumn to latwizna, nawet w przypadku blind sql injection (chociaż wtedy trzeba skryptem brute forceować) https://defendtheweb.net/article/blind-sql-injection

x.....z

konto usunięte 18.06.2023, 19:31:12 via Wykop

jak był sql injection to zdobycie nazw tabel i kolumn to latwizna

@sharik: w sumie masz rację. Mnie zmyliło to, że robiłem pierwszy raz od paru tygodni zmiany i miałem otwartą sesję w FilleZilla, plus ten strim.world. Szukałem nie tam, gdzie trzeba.