Ataki - przekierowania na inne strony

[Tortilla]

Witajcie. A więc, mam pewien problem. Mam aktualnie zainstalowane czystego ip boarda bez żadnych aplikacji i ktoś sobie organizuje prawdopodobnie ataki XSS. W bazie danych, w niektórych miejscach mogę znaleźć o taki kod:

<META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://www.choose.yudia.net/rickroll.swf">

[Macsch15]

W jakich miejscach?

[Tortilla]

Różnych. Wcześniej miałem to w tabeli news od gamehuba, co już chyba widziałeś. Myślałem, że błąd leży w tej aplikacji ale po jej wyłączeniu znowu nastąpił atak. Tym razem w tabeli forums. Było to dodane w tytuł forum i jeszcze w opis.

[Macsch15]

https://www.invisionpower.com/support/kb/_/how-to-clean-your-site-from-infection-r27

[DawPi]

Wyłączenie aplikacji nie skutkuje usunięciem plików z FTP i obecności potencjalnych furtek.

[Tortilla]

Zrobiłem wszystkie kroki pokazane w tamtym artykule. Nie znalazłem żadnych podejrzanych plików na ftp, a wszystkie inne nie były modyfikowane w najbliższym czasie. Poczekam i zobaczę czy coś pomogło.

[Tortilla]

Nie podziałało, dalej ma otwarte furtki. Ponoć to przez chmody, które kazał mi ustawić instalator.

[semenedar]

Powiedz mi czy masz jakieś inne strony www zainstalowane na tym samym "koncie"? No wiesz. Jedno konto na hostingu może mieć wiele stron www i podpiętych domen. Czy iu Ciebie tak jest? Bo jeśli tak, to przyczyny szukaj wszędzie, nie tylko w skrypcie IPB z którego następują przekierowania. Swego czasu walczyłem z przekierowaniami u siebie, a furtka była schowana w innym skrypcie, gorzej zabezpieczonym, lecz na tym samym koncie.

 

"Nadpisanie" paczki nic Ci zapewne nie pomoże, bo to są dodane obce pliki których nie nadpiszesz niczym. Rozwiązaniem jest usunięcie zawartości i wgranie czystej paczki od nowa. Sprawdź też conf_global.php

Edytowane 28 Lipca 2013 przez semenedar

[Tortilla]

Toć hacker się do mnie odezwał i dostępu z tej strony do mnie nie ma. Gość musiał znaleźć jakąś luke w ip.boardzie, bo z tego co się dowiedziałem to miał dostęp do wszystkiego.

[semenedar]

Nie znam odpowiedzi na pytanie:

 

czy masz jakieś inne strony www zainstalowane na tym samym koncie

 

 

Co znaczy że miał dostęp do "wszystkiego". A Ty jesteś ten haker i wiesz z której strony Ciebie atakuje? Wszystkie podstawowe rzeczy takie jak zmiana wszystkich haseł, loginów do kont, do bazy, sprawdzenie własnego komputera czy nie czają sie w nim trojany itd, to rozumiem jest zrobione, tak? Bo jeśli tak a ataki nadal się zdarzają, to znaczy że masz intruza na FTP. A jeśli nie, to najpierw zrób wszystko by się zabezpieczyć a potem dopiero można wyciągać wnioski.

 

Jeszcze coś. Ja też miałem wpisy z przekierowaniami w różnych aplikacjach gdy byłem atakowany przez youshow, zresztą nie ja jeden wtedy bo też sexfotka.pl i kilka innych serwisów w tym czasie. Te wpisy to był pic na wodę. Prawdziwe źródło ataków było osadzone zupełnie gdzieś indziej i nie miało nic wspólnego ze skryptem IPB. Pisałem o tym tu, na forum.

Edytowane 28 Lipca 2013 przez semenedar