Néhány helyen felütötte magát egy számomra új trójai, ami redirecteli az oldalt általában a neborin.info vagy goscanpark.com vagy valami hasonló címre, általában az apache újraindítása segit, bár nem mindig jön elő ez a trójan, szal eléggé randomnak tűnik. A szerveren egyenlőre semmi ezzel kapcsolatos dolgot nem találtam és az adatbázisban sem. Lehetséges hogy valami weblapot meghivva a php modul hibáját esetlegesen kihasználva működik ez a trójai? Sajna az exec és hasonló dolgok nem letilthatóak, és a php-t se tudom egyenlőre frissiteni. Találkozott valaki hasonlóval?
- 1047 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Itt meg úgytünik, hogy szerveroldali a dolog:
http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-ma…
Jobban örülnék ha csak egy kliensoldali trójai lenne.
- A hozzászóláshoz be kell jelentkezni
Igen, de itt is az FTP-re, és a PHP-re hivatkoznak. Pl. exec() és barátainak tiltására, FTP-jelszó lecserélésére, stb. Nincs közvetlen összefüggés a UNIX-alapú szerver oprendszerek, és a féreg közt. Vagy egy PHP-bugon (CMS-sebezhetőségen), vagy pedig egy Windows-kliensen keresztül teszik fel az iframe-kódot. Nem igazán találtam rootkit-re utaló cikket sehol sem. Érintettek még tapasztalataim szerint az autoglobals PHP-tömböket használó kódok - legfőképp azok, melyek ellenőrizetlenül használják a $POST metódust...
- A hozzászóláshoz be kell jelentkezni
Az iframe-s trójai az még okés ami lopkodja a jelszavakat és berakja magát php, html, js scriptekbe. Ez aránylag felderíthető és kezelhető. Viszont ez a mostani, hol bejön hol nem és a webkönyvtár tartalma nem változik.
- A hozzászóláshoz be kell jelentkezni