Witam.
Mam taki oto problem: Kilka razy już moje strony zostały zaatakowane poprzez dopisanie kodu między znacznikami
. Dziś miałem koleiny atak - ramka iframe prowadziła do strony wysyłającej złośliwy kod. Jak można zapobiec takim atakom? Próbowałem już szukać w google ale nawet nie wiem co wpisać.
Proszę o pomoc
Łączysz się z FTP przez totalcommander-a?
Różnie, zdarza się że jak na cudzym kompie muszę coś wrzucić, to przez windowsowy FTP, ale oczywiście hasła nie zapamiętuje ani nic, wszystkie konta oprócz swojego usunąłem. Nie sądzę żeby to było coś zrobione przez ftp, bo kod jest dopisywany na końcu pliku, lub po
w plikach index.php, index.html i plikach includowanych na stronach głównych… To mi wygląda na ataki po stronie skryptu (z przeglądarki), ale ja się aż tak bardzo nie znam…
EDIT:
Kurza twarz, że się tak wyrażę… znowu jakiś syf podopisywany!
Spotkałem się z czymś takim jak użyłem kiedyś tc na komputerze w jak się później okazało znajdował się w jakiejśc sieci, której router był zainfekowany jakimś syfem wykradającym hasła do ftp z tc i przypinającaym to niektórych plików kod. Po pierwsze sprawdź logi połączenia z ftp, po drugie czy strona to jakiś cms/autorski skrypt?
Generalnie to dużo jest skryptów mojego autorstwa, a dopiero się uczę… Na ftp tylko ja się logowałem, ale np. wczoraj miałem 17 odwiedzin z Rumunii przed tymi atakami (!?) Wiem że to może być wina dziurawych skryptów, znalazłem że przy takich atakach często pomaga wyłączenie funkcji allow_url_fopen, więc spróbuje nad tym pogrzebać…
radził bym dział 
bezpieczenstwo-i-logi-hijackthis-f16.html po prostu mozesz mieć “syf” u siebie na komputerze …
jeśli są to Twoje własne skrypty to na 90% jest to kwestia braku zabezpieczeń, a nie wykradzionych haseł do ftp czy śmieci na lokalnym kompie.
jakiś rumuński bot aplikuje Ci code injection 
Twoim przyjacielem niechaj będą słowa: walidacja i escapowanie (escaping) kodu
sprawdź chmod folderów, może to i głupie ale kiedyś dałem pełny dostęp do całego folderu i plików index.php na swoim serwie i miałem code injection co godzinę
a zrobiłem to omyłkowo ;p
Zmieniłem allow_url_fopen na off i teraz ten syf jest nieszkodliwy (tzn. avast nie informuje już o wirusie) ale nie wiem czy google będzie się nadal czepiało i dopisywało moje strony do listy podejrzanych witryn?
Witam, jestem nowym użytkownikiem tego forum.Mam taki sam problem jak ty, mianowicie na moim www od wczoraj google założyło tą blokade… ,Witryna zgłoszona jako dokonująca ataków!" Jak mam to usunąć ? I tak ogólnie ze 2 razy dziennie muszę wgrywać nowy index po pojawia mi się złośliwy kod na www. ,i frame html", przez avasta brany jako wirus/robak. Moje www bazuje na cms-ie webspell. Co mam zrobić ?
Tutaj napisałem co robić trojan-stronie-t338052.html#p2211605 i tu pomoc-dziwny-blad-pasek-poziomy-forum-smf-t338157.html#p2212113 . Nie chce mi się już pisać kolejny raz to samo. Najważniejsza sprawa to aktualne oprogramowanie i skrypty.
Zaraz to przestudiuje i dam znać 
– Dodane 23.06.2009 (Wt) 23:22 –
Wirus mi się już nie wyświetla, http://linkscanner.explabs.com/linkscanner/default.aspx Dałem moje www nawet pod ten skaner i nic. Jak na przyszłość zapobiec takim atakom ? Chyba nie ma czegoś takiego jak avasta na ftp 
A i jeszcze mi się wyświetla ten komunikat przed wejściem na www … Witryna zgłoszona jako dokonująca ataków! , jak się tego pozbyć ?
Na stronie głównej Google Narzędzi dla webmasterów wybierz swoją witrynę.
W komunikacie Fragmenty tej witryny mogą rozpowszechniać złośliwe oprogramowanie kliknij link Więcej szczegółów.
Kliknij link Zgłoś prośbę o sprawdzenie.
Natomiast jedynym skutecznym sposobem zapobiegania podobnym sytuacjom jest stosowanie się do tego, co pisałem wcześniej.
OK, widzę że coraz więcej ludzi ma taki problem, cały malware pochodzi ze stron z kanadyjskimi domenami… Czy można skryptem php usunąć tylko fragmenty plików? tzn. wywołuję skrypt przez przeglądarkę i z wszystkich plików usuwają się fragmenty
[/code]
Czyli chcę zrobić to co mówił z4nzi, tylko nie linuksem a skryptem php. Da się tak?
EDIT
Jeszcze jedno słówko do tych, którzy również mają code injection: czy na waszym serwerze są skrypty waszej roboty?