« Witamy na iStockPhoto.com
Update: MiaÅ‚em wÅ‚am na FTP’a »

MiaÅ‚em wÅ‚am na FTP’a

Published by
Michał Osmenda
2007-07-26 in Bezpieczeństwo and Blog. Tagi: , , ,

Dziś dostałem emaila od firmy, której przedstawiać Wam nie muszę - Servage, z informacją, która potwierdziła moje kilkudniowe obawy.

Unfortunatly we had to change your FTP Password to increase the security of your account. Please dont change it back to the old one as we have got some information that your credentials maybe has been stolen by someone.

Pisownia oryginalna, jak na firmę hostingową posiadającą klientów na całym świecie, mogliby trochę poprawić swój angielski. Ale ja nie o tym chciałem.

Po kilku poprzednich postach dostawaÅ‚em informacjÄ™ od czytelników, że jeÅ›li widzÄ… post na stronie głównej, to już nic siÄ™ nie pokazuje na stronie posta. Na poczÄ…tku sÄ…dziÅ‚em, że jest to kod PayPal’a (zresztÄ… byÅ‚ z nim problem, bo byÅ‚ uciÄ™ty i niektóre skanery antywirusowe uciÄ™ty kod wskazywaÅ‚y jako wirus), PayPal zostaÅ‚ zatem już tylko na stronie Autor. Jednak dwa dni temu przy okazji zmian w header.php w szablonie przez przypadek podejrzaÅ‚em swój plik index.php z katalogu głównego Wordpress’a. ZnalazÅ‚em tam dodatkowy kod, który ani nie pochodziÅ‚ od WP ani nie pochodziÅ‚ ode mnie. Dodatkowo, wszystkie pliki w katalogu głównym byÅ‚y zamienione na poprzedniÄ… wersjÄ™ WP.

PobladÅ‚em, zrobiÅ‚o mi siÄ™ gorÄ…co i musiaÅ‚em siÄ™ napić. WstÄ™pna analiza, po otrzeźwieniu, nie wykazaÅ‚a dodatkowych zniszczeÅ„, baza nie jest dostÄ™pna z zewnÄ…trz, wiÄ™c nawet nie musiaÅ‚em zmieniać hasÅ‚a do MySQL’a. W grÄ™ wchodziÅ‚y dwa wektory ataku: POST/GET poprzez jakiÅ› moduÅ‚ WP (których mam kilka) albo poprzez samo WP, i ftp. Po przywróceniu oryginalnych plików i upewnieniu siÄ™, że wszystko inne jest na miejscu, postanowiÅ‚em zaczekać na rozwój wydarzeÅ„. WykonaÅ‚em (kolejny) backup, tak na wszelki wypadek.

Dziś, kiedy dostałem tego emaila, upewniłem się w przekonaniu, że to jednak znów mój ukochany provider. Już wysłałem do nich emaila z zapytaniem jak doszło do włamu. Pamiętacie mój post Servage sucks, Dreamhost leaks password? Być może jesteśmy świadkami nowego wydarzenia: Dreamhost leaks password, Servage does it too?

1 Response to “MiaÅ‚em wÅ‚am na FTP’a”

Feed for this Entry Trackback Address
  1. 1 Update: Miałem włam na FTP’a at ITblog
    Pingback on lipca 26th, 2007 at 22:11:05

Leave a Reply

« Witamy na iStockPhoto.com
Update: MiaÅ‚em wÅ‚am na FTP’a »

Kalendarz

lipiec 2007
P W Åš C P S N
« czerwca   sierpnia »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All rights reserved. Quotations from this blog require author's written approval.
PL: Wszelkie prawa zastrzeżone. Cytaty z tego bloga wymagają pisemnego zezwolenia autora.

Add to Technorati Favorites

RSS RSS Feed