Teknik, hosting & e-handelsløsninger

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Mikkel deMib Svendsen — Fri, 07 May 2010 22:19:52 GMT

Ja, det er nogenlunde det samme jeg gør :)

En lidt mere sikker metode er en possitiv liste - gerne for hvert enkelt felt, i stedet for filtre. Men det er lidt mere omstændigt at sætte op synes jeg.

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 22:13:52 GMT

Det skulle jeg mene, men som skrevet, så går jeg det hele igennem igen :-)

Normalt bruger jeg en funktion til at replace ulovlige tegn fra formular felter, querystrings og cookies - er der andre ting?

Jeg fjerner eller replacer:

' (pling)
-- (minus minus)
<
>
(
)
=

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Mikkel deMib Svendsen — Fri, 07 May 2010 21:52:00 GMT

Renser du også input fra Cookies (hvis det bruges)? :)

- Det er der mange der glemmer og det var da også først for nyligt, at jeg selv blev opmærksom på, at man jo også den vej kan snige kode ind, hvis der altså er nogle steder hvor cookie data anvendes i server eksekveringer. En cookie er jo ligeså let at ændre i som en URL.

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 21:49:15 GMT

Jeg mener selv min kode er rimelig sikret mod SQL injections, men den bliver naturligvis gennemgået med en tættekam :-)

Jeg har naturligvis altid en ren backup af både filer og database, så på det punkt er jeg rimelig rolig :-)

Svar: malware placeret i javascriptfil på server - hvordan hulen?

slettet_bruger — Fri, 07 May 2010 19:49:06 GMT

En anden vigtig ting er at have en backup af koden, som hurtigt kan installeres på sitet! Jeg taler af erfaring. Uanset hvor striks man er med input-kontrol osv. kan der altig være et sikkerhedshul på serveren der kan udnyttes.

Så hvis du sørger for at have løbende backup af din database, og har mulighed for at geninstallere dit site, så er du hurtigt oppe af køre igen efter det næste angreb.

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Mikkel deMib Svendsen — Fri, 07 May 2010 19:29:01 GMT

Oxkjær - jeg laver også selv en del i klassisk ASP og har selv været ude for noget af det samme. Og det VAR SQL injections!

Det du skal skynde dig at gøre er, at sørge for at ALLE input bliver renset. Der må IKKE slippe karakterer igennem, som kan misbruges til injections. Der er mange måder du kan gøre det på - mere eller mindre omfattende, men bare det at fjerne alle de mest almindelige tegn, der misbruges (som ' < > osv) kan du stoppe mange hacker forsøg. Gør det i dag! (hvis du ikke allerede har gjort det :))

Med "input" er det iøvrigt vigtigt at huske, at jeg mener ALLE input! Ikke bare almindelige formularer og den slags - også cookies, session varianler osv. ALT! Du må ikke eksekvere noget som helst på serveren, uden at du er HELT sikker på, der ikke er sluppet injections med!! :)

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 19:15:57 GMT

Det er mig der takker, håber de smager godt :o)

Svar: malware placeret i javascriptfil på server - hvordan hulen?

softwaremanden — Fri, 07 May 2010 19:10:55 GMT

Takker mange gange - de er ankommet :-)

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 10:21:16 GMT

Jep, passwordet er nu ændret igen og alle filer er tjekket, så jeg tror også dette er løsningen.

Der er to af de røde på vej :-)

Svar: malware placeret i javascriptfil på server - hvordan hulen?

softwaremanden — Fri, 07 May 2010 10:17:02 GMT

Det lyder til at det er præcis det problem han er løbet i, ikke mindst når du skriver det vender tilbage, når han ændrede passwordet tilbage.

Mvh. Jens

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 09:42:32 GMT

softwaremanden:

Desværre havde ormen (kan desværre ikke husket navnet), gået ind i min totalcommander og nuppet alle ftp konti der som lå med host og password (3 styks) og sendt dette videre. En bot havde logget ind i disse 3 websteder, og lagt et stykke kode i bunden af samtlige javascript filer.

Mvh. Jens

Jens, er du ikke lige rar at sende mig en privat besked med dit navn og adresse, så er der nemlig to flasker rødvin på vej til dig!

Jeg har lige gået min kunde lidt på klingen, og det viser sig, at han tidligere har praktiseret, at lægge nogle filer ud på serveren via FTP og så hentet disse filer igen fra forskellige maskiner, også via FTP og med Totalcommander.

Da jeg i sin tid opdagede der var noget galt, fik vi flyttet sitet til en ny server og med ny adgangskode. Denne adgangskode fik kunden så efterfølgende ændret til den "kendte" som han jo kunne huske, og vupti, så var den gal igen.

Præcis som du beretter, så var alle JS filer ændret, så med din lille historie her tror jeg det er årsagen til til hele.

Tusinde tak for bidraget!

Svar: malware placeret i javascriptfil på server - hvordan hulen?

softwaremanden — Fri, 07 May 2010 09:18:22 GMT

Hej

Jeg havde en grim oplevelse den anden dag, du kan være udsat for det samme, selvom det måske ikke hjælper dig, men det kan forklare det.

Min niece fik lov at sidde og surfe spil og børnesider på min arbejdspc (stor fejl). Da jeg fik pc'en igen var der dukket en bjælke op omkring noget "buy antivirus now..." - typisk malware. Nå, jeg fik det fjernet og troede alt var godt....

Desværre havde ormen (kan desværre ikke husket navnet), gået ind i min totalcommander og nuppet alle ftp konti der som lå med host og password (3 styks) og sendt dette videre. En bot havde logget ind i disse 3 websteder, og lagt et stykke kode i bunden af samtlige javascript filer.

Hvis jeg var dig ville jeg minutiøst gennemtjekke ALT hvad du har af .js filer og også evt. de andre filer. Det er forholdsvis let at se på timestampet på filerne, hvilke der er ændret på det tidspunkt det er sket. Men hold da op, det er et stort arbejde at få det ryddet op igen. Heldigvis havde jeg en frisk backup af 2 af de 3 sider, og heldigvis var det mindre vigtige sider... de vigtige har jeg ikke lagt i totalcommander med password.

Mvh. Jens

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 09:06:27 GMT

Lars Borup Jensen:

Typer det ikke lidt på at nogle har opnået root adgang til selve maskinen mere end nogen er gået ind via FTP (eller med en FTP bruger der har adgang til hele filsystemet)

Tjoee, men det får man nok aldrig nogen til at indrømme .....

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Oxkjær — Fri, 07 May 2010 09:05:38 GMT

enielsen:

Hvilket sprog er kode skrevet i ?

Classic ASP

Svar: malware placeret i javascriptfil på server - hvordan hulen?

Lars Borup Jensen — Fri, 07 May 2010 09:01:44 GMT

Oxkjær:
Derudover, så ligger der mere end 20 andre sites på serveren som ligeledes er inficiceret, men det er de tilsyneladende også ligeglade med.

Typer det ikke lidt på at nogle har opnået root adgang til selve maskinen mere end nogen er gået ind via FTP (eller med en FTP bruger der har adgang til hele filsystemet)