Nem tudom volt-e mar ilyen topic, ha igen, elnezest, de en nem talaltam meg.
Tehat a helyzet a kovetkezo. Adott egy webserver, rajta webhosting szolgaltatas, rajta juzer weboldala. Az oldal forrasaban erdekes javascript kodok jelennek meg, rendszerint a zaro html tag utan. Google-tol kapok jo kis emailt, hogy fertozott az oldal, es csinaljak valamit. Ez eddig oke is. Probaltam rajonni, hogy megis hogy torik meg az oldalt, nezegettem a mod_security logokat, de semmi. Aztan a gugli keresoszavak ugyes megvalasztasaval talaltam egy forum topicot, ahol azt olvastam, hogy ftp-n keresztul "tortek" meg az oldalt. Azert irom idezojelben, mert nem igazi toresrol van szo, hanem - ha a postnak lehet hinni - valami windowsos fereg csinalja, megpedig ugy, hogy a juzer gepen tarolt jelszavak segitsegevel fellep ftp-n keresztul a tarhelyere, ahol a fereg automatikusan minden .php es .html vegzodesu file-ba beleirja azt a par sort. Ez utan megneztem az ftp logokat, es valoban, a felhasznalo belepett, majd minden file-t letoltott a tarhelyrol, majd par byte-tal nagyobb meretben ujratoltotte oket. Azert is gyanus, hogy valami feregrol van szo, mert minden .php -ra vegzodo file-t lecserelt, pl az ilyen "Changelog.php" jellegueket is.
A kerdesem tehat az, hogy szerintetek megis hogy lehet az ilyen ellen vedekezni. A szerver rendben van, nem onnan jott a tamadas, hanem a felhasznalo felol. Persze, lehet azt mondani, hogy 'virustalanitsa a gepet a felhasznalo', de jo lenne valami szerveroldali megoldas is, hogy megis mit lehet ennek a megelozesere tenni. Gondoltam arra, hogy az ftp-n korlatozni lehetne, hogy milyen juzer csak milyen iprol lephet be, de mivel senkinek sincs otthon fix ipje, ez nem nyert.
Az ftp demon, amit hasznalok kepes arra, hogy minden feltoltes utan lefuttasson egy scriptet, tehat lehetne szurni valami stringre minden feltoltes utan, de megis mire? Felo, hogy beletrafalok valami legalis tartalomba is, tehat ez sem a legjobb otlet.
Tehat valami hasznos otlet esetleg?
Update: Ja a forum, amire hivatkoztam: http://www.prog.hu/tarsalgo/?op=view&fid=73223&no=17
Tudom, tudom, prog.hu, de akkor is ugy tunik, hogy az a helyzet, amit az egyik illeto irt.
