Hostgator tárhelyemen a .htaccess fájlok időnként felfertőződnek, baromi idegesítő módon, valamint újak jönnek létre természetesen genyó tartalommal.
Összesen 4 szgépről érhetőek el ftp-n keresztül, ebből 2 mac egy xp meg egy ubi. A hozzáférési jelszavak 18 karakteres krixkrax-ok generálva.
A legdurvább, hogy annak ellenére, hogy az ftp hozzáférések felhasználónként korlátozottak az adott könyvtárakhoz, mégis más ftp hozzáférésű helyek is befertőződnek, illetve mind.
A tárhelyeken wordpress és drupal oldalak üzemelnek a legújabbakra frissítve, az xp-s gépen már megszűntettük a filezillát és a total commandert.
Van-e másnak is ilyen tapasztalata? A tipem az, hogy az xp-s gép lesz a ludas. Esetleg van -e valami tudomásotok ftp jelszó-lopó trojai specifikus irtóprogramról?
Mit tegyek? már ott tartok, hogy cron-nal törölgetem a .htaccess fájlokat. :)
- 5123 megtekintés
Hozzászólások
szerintem: ha biztos vagy abban hogy felőled érkezik a fertőzés, és nem valami globálisabb / cms szintű probléma a szolgáltatódnál (ftp log, apache log), akkor én javaslom az ftp kliens frissitését az xp-n (gondolom total commander van, a régiekben plaintext voltak a jelszavak, az újabbakban már javitva lett ez és kicsit biztonságosabb) és ha megoldható akkor ne is mentse el. ofc jelszó váltás, aztán újra várni mi történik:)
- A hozzászóláshoz be kell jelentkezni
Egyszer már volt probléma a filezillával, akkor az index.php állományok fertőződtek.
jelszócsere, xp kiiktatása és csend következett hosszan. Most ez új :(
- A hozzászóláshoz be kell jelentkezni
Tudsz FTP logot ellenőrizni, biztos, hogy FTP-n keresztül módosul a htaccess?
- A hozzászóláshoz be kell jelentkezni
Nézegettem a logokat, de semmi érdemlegeset nem találtam. Szinte március óta nem is találok ftp bejelentkezéseket. Persze a hostgator lehet ebben ludas.
- A hozzászóláshoz be kell jelentkezni
Azért kérdeztem csak, mert lehet, hogy nem FTP-n, hanem valamelyik oldalon keresztül járnak be.
Ha lecseréled az FTP jelszót és nem tárolod sehol, mégis megváltozik a htaccess, akkor tényleg máshol jönnek be.
- A hozzászóláshoz be kell jelentkezni
Milyen CMS fut a tárhelyen? Ugyanis ha az imádott suexec módban vagy suphp-val megy a php, akkor írható lesz a teljes gyökérkönyvtár. Nekem legutóbb Joomlával volt hasonló, ahol a ügyes weboldal szerkesztő a mindenre írási jogott adott.
- A hozzászóláshoz be kell jelentkezni
A hostgator.com szolgáltatónál vagyok, több oldalt üzemeltetünk, wordpress, drupal, meg síma php oldalak. A fura az, hogy minden egyes ftp hozzáféréssel csak saját weboldalán belül lehet mozogni, mégis minden könyvtárban még alkönyvtárakban is megjelenik a fertőzött .htaccess.
Idegbaj. Nálam van a gyökérhozzáférés, nekem ubuntu-m van, de a fertőződés megjelenése pl. most hétvégén történt, mikor a gépem be se volt kapcsolva.
Vagy még arra gondoltam, hogy régebben mikor a filezillás probléma volt, akkor valamely php fájl is meg lett hackelődve, ami kvázi backdoorként működik. Csak tudnám melyik lehet ez? Gondolok már mindenre....
- A hozzászóláshoz be kell jelentkezni
Na fasza mostmár kártevő lett a google szerint az oldal fasza éljeeen!
- A hozzászóláshoz be kell jelentkezni
Na de egy korrumpalt wordpressbol oda ir aholva a webszerver tud...
.htaccess beallit aztan +i neki...
- A hozzászóláshoz be kell jelentkezni