milanzemunac Zemun
Član broj: 253047 Poruke: 46 *.adsl.eunet.rs.
|
Pozdrav,
Dobio sam izvestaj od hostinga o upadu i inficiranju jednog od sajtova koji kod njih hostujem. Poslali su mi spisak zarazenih fajlova, i logove. Da li neko moze da mi da savet kako da ocistim inficirane fajlove, i ponovo dignem sajt?
Hvala
|
|
| |
|
jorganwd Muris Kurgaš /dev/null
Član broj: 65537 Poruke: 779
Sajt: www.remote-exploit.org
|
Mislim da ti je provajder poslao dovoljno informacija o napadu i problemu koji dopusta iskoristavanje propusta. Ako dobro poznajes to sto si iskodirao i implementirao, radio redovan bekap, onda mislim da ti nece predstavljati problem otklanjanje problema: Vratis staru verziju iz bekapa i zakrpis aplikaciju tamo gdje je iskoristena ranjivost. Druga opcija je rucna dezinfekcija: download kompletnog sajta, dezinfekcija nekim anti-zlonamjernim alatima, zakrpis kod, vratis sajt na mjesto.
pozdrav,
M.
|
|
| |
|
valjan Janko Valencik Software Deployer Schneider Electric Novi Sad
Član broj: 158605 Poruke: 3531 *.dynamic.sbb.rs.
|
Zavisi šta si "pazario" - nekad je dovoljno da otvoriš par fajlova, ručno obrišeš višak koda (najčešće je na samom početku fajla, na samom kraju, ili iza nekog specifičnog taga - npr. otvarajući body, prvi zatvarajući PHP i sl.), nekad možeš upotrebiti svoj kućni AV da skeniraš i očistiš fajlove, a nekad je potrebno da iskoristiš posebno pisan skript jer je svaki PHP, HTML i slični fajlovi "zaražen", odnosno ubačen mu je dodatni kod. Takođe ponekad ne diraju sam sajt, ali izmene .htaccess fajlove takod a se svaki zahtev redirektuje na neki drugi sajt.
Kao što postoje milioni primeraka malware-a, tako postoje i na hiljade načina za inficiranje, a isto tako i za uklanjanje, tako da ne možeš ovde dobiti jednostavan recept, moramo imati više detalja o tome šta te je snašlo.
|
|
| |
|
milanzemunac Zemun
Član broj: 253047 Poruke: 46 95.180.52.*
|
Pozdrav, hvala na odgovorima.
Odlucio sam se da obrisem ceo folder, i uradim restore iz backupa... to mi je nekako najsigurnija varijanta. Inace, pazario sam neku skriptu Syrian Shell, probao sam da rucno odklonim sumnjivi kod, medjutim nisam uspeo. Probao sam isto i sa AV-om, ali ni on nije uspeo. U medjuvremenu sam se konsultovao sa nekim prijateljima koji se bave zastitom, pa su mi rekli da je najbolje da obrisem sve, i uradim restore, posto je skripta takva da daje pristup svim fajlovima, mysql tabelama....
U svakom slucaju, hvala jos jednom!
|
|
| |
|
jorganwd Muris Kurgaš /dev/null
Član broj: 65537 Poruke: 779
Sajt: www.remote-exploit.org
|
1)
Citat: jorganwd:: Vratis staru verziju iz bekapa
2) (ovo nadjes u logovima)
Citat: jorganwd: i zakrpis aplikaciju tamo gdje je iskoristena ranjivost.
|
|
| |
|