Thursday, December 24, 2009

Hacker ප්‍රහාරයක්...?


වෙබ් අඩවියක් පරිපාලනය කරනවා (website administration) කියන්නෙත් හරියට නැවක කපිතන් තනතුරේ ඉන්නව වගේ වැඩක්. හැම දෙයක් ගැන ම හැම ආකාරයකින් ම විමසිල්ලෙන් ඉන්න ඕනේ. ඇතුළතින් - පිටතින් දෙපැත්තෙන්ම එන සතුරු ප්‍රහාර වලට මුහුණදෙන්න ඕනේ... අන්තර්ගතය ගැන බලන්න ඕනේ... සෙවුම් යන්ත්‍රත් එක්ක තියෙන පළහිළව් විසඳන්නත් ඕනේ....
වෙබ් අඩවියෙ ප්‍රතිපත්තිත් (policies) එක්ක මේ වැඩ රාජකාරි ප්‍රමාණය  අඩු වැඩි වෙන්නත් පුළුවන්.

හරි.... එමුකො මාතෘකාවට. මගේ පරිපාලනය යටතෙ තියෙන එක වෙබ් අඩවියක් මෑතකදි හදිසියෙම අකර්මණ්‍ය වුණා. වෙබ් අඩවියට ගියාම සුදු පාට පිටුවක පෙන්නනවා දෝෂ පණිවුඩයක්... index.php ගොනුවෙ 38 වෙනි පේළිය... < ලකුණ තමයි අවුලට මුල කියල ඒ පිටුවෙ කියන්නේ. මේ අවුල දැක්ක සැණින් මට දැන්වූ බ්‍රයන් වෙත මගේ ස්තුතිය!

ඉතින් මමත් මේ ගැන සොයා බලන්න Filezilla මෘදුකාංගය පාවිච්චි කරලා FTP හරහා වෙබ් අඩවියෙ ගොනු තියෙන ඩිරෙක්ටරියට පිවිසුණා. මේ වෙබ් අඩවිය CMS එකක් භාවිතයෙන් නිර්මාණය කළ එකක්. index.php ගොනුව පිරික්සා බැලුවාම අමුතු දේවල් කීපයක්ම දකින්න ලැබුණා.

සාමාන්‍යයෙන් අපි PHP කේත ලිවීමේදී අපේ PHP කේත කොටස ලියන්නේ <?php හා ?> යන ටැග අතර. නමුත්, සුපුරුදු සම්මතයට පටහැනි වුණත්, අපේ php ගොනුවෙ තිබුණෙ ආරම්භක (<?php) ටැගය පමණයි.

PHP කේතයෙ අන්තිමේ HTML Script ටැගයක් තිබුණා. බොහොම භයංකර, බැලු බැල්මට hieroglyphs වගේ පේන අමුතු HTML/ Javascript කේත කෑල්ලක් ඒක.

එතකොට සම්පූර්ණ කේතය මෙන්න මේ වගේ:
<?php
/* වෙබ් අඩවියේ
PHP
කේත */

<script> // ආගන්තුක Javascript කේත කොටස </script>

හේතුනිර්ණය: දෝෂයට හේතු වුණේ PHP අස්සේ HTML තිබීම නිසා HTML කේත කොටසත් PHP කියල හිතාගෙන, අපේ සර්වර් එකේ PHP එන්ජිම මඤ්ඤං වීම.

---

ඉතින් මේක දැක්කාම මම කළ පළවෙනි දෙය මේ ගැන අනිත් පරිපාලකවරුන්ගෙන් (administrators) විමසීම. මේ කේතය ගැන ඒ කිසිවෙක් දැන සිටියෙ නැහැ.

එහෙනම්......
Hacker ප්‍රහාරයක් ද?

මගේ අනුමානය වුණේ මේ කවුරුහරි hacker කෙනෙකුගෙ වැරදුණු කුරුමානමක් කියලයි. මොකද අපේ වෙබ් අඩවිය අකර්මණ්‍ය කළා කියල කාටවත් අත්වෙන වාසියක් නැති නිසා. Phishing වගේ වැඩකට අපේ වෙබ් අඩවිය යොදා ගත්ත නම් ඒකෙන් ඔවුන්ට යම් වාසියක් ලබන්න අවස්ථාව තිබුණා.

කොහොම නමුත් අනිත් ඇඩිමින්ලා මේ ගැන නොදන්න නිසා (අනිත් අයගෙ දැනුවත් වීමකින්/ මැදිහත් වීමකින් තොරව සිද්ධ වුණු නිසා) මම ආගන්තුක HTML/ Javascript කේත කොටස විශ්ලේෂණය කිරීමේ අවශ්‍යතාව සඳහා මගේ පරිගණකයට පිටපත් කරගෙන, index.php ගොනුවෙන් ඉවත් කරලා ඒක save කළා. දැන් සයිට් එක බබා වගේ වැඩ.

හැබැයි.......... මගේ වැඩ එතනින් අහවර වෙන්නෙ නැහැ. මීළඟ පියවර සිද්ධියෙ අග මුල කොනක සිට සෙවීම. මෙන්න මෙහෙමයි අපේ වෙබ් අඩවියට ආසාදනය වෙලා තිබුණු විෂබීජය:



ඉතින්,... මේක එකපාර දැක්කාම මහ ලොකු පටළැවිල්ලක් වගේ.... බැලු බැල්මට ඇසෙම්බ්ලි වලින් ලිව්ව එකක් වගේ.... :P මේ කේතය පරීක්ෂා කරමින් ඉන්නකොට පැය විසි හතරක් ඇතුළත දෙවන වතාවටත් වෙබ් අඩවිය අකර්මණ්‍ය වුණ බව අහම්බෙන් දැනගන්න ලැබුණා.

සිද්ධ වෙලා තිබුණෙ කලින් සිද්ධියමයි. ඉතින් මම පෙර වතාවෙ කළ සැත්කම ම ආපහු කරලා මීට විසඳුමක් හොයන්න උත්සුක වුණා. කාලෙකට පස්සෙ පොඩි අභියෝගයක්! මේක කරදරයක් නෙමෙයි.... අභියෝගයක්....!! සතුටු විය යුතුයි ඒ ගැන.

---

දැනට සිද්ධ වුණු දේවල් ගැන පොඩි සාකච්ඡාවක් මෙතනම ඉදිරිපත් කරන්න හිතුණා. සාකච්ඡාවට සහභාගි වුණේ මගේ මස්තිෂ්ක අර්ධගෝල දෙක.... තනියට පාලුවට අනුමස්තිෂ්කයත් පිටුපස්සෙන් හිටියලු...... :D

මේ මගුල අටවපු කෙනා ඒක කරල තියෙන්නෙ වෙබ් පිටුවක මේ කේතය අඩංගු කරලා වෙබ් පිටුව පූරණය වෙන අවස්ථාවෙ ඒක පරිශීලකගෙ පැත්තෙන් ක්‍රියාත්මක කරවන්න. නමුත් අපේ php ගොනුවෙ අග වැසීමේ ටැග් එක (?>) නැති නිසා, සර්වරය පැත්තෙන් ආගන්තුක HTML කේත කොටසක් PHP කේතයක් ලෙසම සලකලා interpret කරන්න උත්සාහ කිරීමෙ අවසාන ප්‍රතිපලය වුණේ මුළු වෙබ් අඩවියම අකර්මණ්‍ය වීම.


එක්කෝ අපිත් එක්ක සෙල්ලම් කරන කෙනා/ bot එක ට index.php ගොනුවෙ සම්පූර්ණයෙන් කියවන්න හැකියාවක් නැහැ. එහෙම නැත්නම් කියවා අවබෝධ කර ගන්න හැකියාවක් නැහැ. කියවා අවබෝධ කරගැනීමේ හැකියාවක් තිබුණා නම් ඒකාන්තයෙන්ම මේ වැඩේ කරන්නෙ මනුස්සයෙක්. නමුත් මේ දෙ වතාවේදී ම php කේතයෙ ව්‍යූහය නොතකා එහි අගට අන්ධ ලෙස HTML කේත කොටසක් එක් කර තිබීම නිසා මගේ නිගමනය වුණේ මේකට වගකියන්න ඕනෙ bot එකක්ම විය යුතුයි කියන එක.

මම මෙතෙක් ලබලා තියෙන දැනුමේ හැටියටත්, අපේ වෙබ් අඩවියෙ ස්වභාවයත් අනුවත්, වෙබ් ගවේශකයක් හෝ වෙනත් උපක්‍රමයක් පාවිච්චි කරලා HTTP හරහා මේ ප්‍රහාරය ක්‍රියාත්මක කිරීම අතිශයින්ම අසීරු දෙයක්. (HTTP ගැන හොඳ අවබෝධයක් තියෙනව නම් Firefox පවා hacking tool එකක් කරගන්න බොහොම පහසුයි! -- ඒක වෙනම කතන්දරයක්)

මේ නිසා මගේ සැකය යොමු වුණේ වෙබ් අඩවිය ස්ථාපනය කරලා තියෙන සර්වරය වෙත. සර්වරය වෙත අනවසරයෙන් පිවිසෙන්න සමත් වුණු තක්කඩියෙකුගෙ වැඩක් වෙන්න ඇති! << හැබැයි මේ උපකල්පනයක් පමණයි.

---

අගමුල හෙවිල්ල පොඩ්ඩකට පැත්තක තියලා අර කේත කොටස මම ආපහු පරීක්ෂා කළා. බැලු බැලුමට ආධුනිකයෙකුගේ ධෛර්යය හීන කරවන විධියෙ සංකීර්ණ පෙනුමක් ඒකට තියෙන්නේ. නමුත් ඕනම සංකීර්ණ ගැටළුවක් සරල කොටස් වලට වෙන් කරගත්තාම පහසුවෙන් විසඳන්න පුළුවන්. අන්තිමේ බැලුවම ඒකත් බොහොම සරල දෙයක් නොවැ!

මුලින්ම කියවන්න පහසු ක්‍රමයකට කේතය පේළි කීපයකට වෙන් කරගත්තා,



මේ තියෙන්නෙ අමාරුකාර පේළිය,



ඒ පේළිය දිහා පරීක්ෂාකාරීව බලන්න... javascript පිළිබඳ එතරම් ම දැනුමක් අවශ්‍ය වෙන්නෙ නැහැ. :)



Javascript වල තියෙන replace නම් method එක තමයි මෙතන පාවිච්චි කරල තියෙන්නේ. (අහඹු ලෙස) විරාම ලක්ෂණ මුසු කිරීම මගින් සූක්ෂ්ම ආකාරයට සඟවන ලද පාඨ කොටසක්, ක්‍රමලේඛය ධාවනය වෙන අවස්ථාවේදී ඒ විරාම ලක්ෂණ ඉවත් කර නැවත ප්‍රයෝජනයට ගැනීමේ අපූරුව! හැබැයි ඉතිං මේක හරියට අගුළු දමාපු අල්මාරියක යතුර ඒකෙ යතුරුකටේම තියෙන්න අරිනව වගේ වැඩක්.

ඔය කේත කොටසෙ අවසාන ප්‍රතිපලය:



බැලු බැල්මටම පේනව නෙව මේක phishing වගේ වැඩකට පාවිචිචි කරන්න හදපු එකක් කියලා.... :)

මේ සම්පූර්ණ කේතය ධාවනය වෙද්දි වෙබ් ගවේශකය මත දිස් වන වෙබ් පිටුවේ තවත් javascript object එකක් නිර්මාණය වෙනවා. ඒ javascript කේතය තියෙන්නෙ/ තිබිය යුත්තෙ ඔය රතු පාටින් දීල තියෙන URL එකේ. නමුත් වෙබ් ගවේශකයෙන් මේ URL එක වෙත ගියාම දිස් වෙන්නෙ හිස් වෙබ් පිටුවක්. දෙවැනි ප්‍රහාරයෙදි මම පිටපත් කරගත් කේතයෙන් දැක්වුණේ මේ ව්‍යූහයම දරණ වෙනත් URL එකක්. පහත දැක්වෙන්නෙ attacks කීපයකින් පසුව මම එකතු කරගත් තවත් මෙවැනි URL දෙකක්.



---

මේ වෙබ් ලිපින මම පරීක්ෂා කර බැලුවා... මේ කේත කොටස shaakunthala.com හි මගේ වෙබ් අඩවියට දාලා ඇතැම් විට අවශ්‍ය පරිදි Wireshark පවා යොදාගෙන පරීක්ෂා කරල බැලුවා. ඒත් කොයි URL එකෙන් වුණත් ලබා දෙන්නෙ අපේක්ෂිත javascript කේතය නෙවෙයි, හිස් පිටුවක්.

ඒ හැම host එකකම port 80 හා 8080 හි වෙබ් සර්වර් ක්‍රියාත්මකව තිබෙනවා.

මේ port 80 හි ක්‍රියාත්මක වෙබ් සර්වර මත තියෙන අඩවි:




තිරපිටපත් මත ක්ලික් කරලා පැහැදිලිව බලන්න පුළුවන්

---

වෙබ් අඩවි ලඝු සටහන් (site logs) වලිනුත් කිසිම දෙයක් හොයාගන්න බැරි වුණා. ඒවයෙ මේ ගැන කිසි දෙයක් සටහන් වෙලා තිබුණෙ නැහැ. මේ කිව්වෙ server logs ගැන නෙවෙයි.

මේ ගැන කරන විමර්ශනය මම අතහැර දමා නැහැ. ඊට සමගාමීව මීළඟ පියවර අපට web hosting සේවාව සපයන ආයතනය සමඟ සාකච්ඡා කර විසඳුමක් සොයන එකත් කළ යුතුයි. තාවකාලික පැලැස්තර විසඳුමක් ලෙස index.php ගොනුවෙ අගට පහත දැක්වෙන කේත කොටස එකතු කළා. 

die();

මෙහෙම 'මැරියං!' කිව්වාම එතනින් එහාට කේතය interpret වෙන්නෙ නැහැ. ඒ නිසා අර කෙහෙල්මල් javascript එක interpret වෙන්නෙවත්,  වෙබ් ගවේශකය වෙත එන්නෙවත් නැහැ. වෙලාවෙ හැටියට මේ 'මැරියං!' එක පැලැස්තර විසඳුමක් හැටියට බොහොම ප්‍රයෝජනවත් වුණා.

---

අපේ වෙබ් අඩවිය දැන් කිසිම ගැටළුවකින් තොරව ක්‍රියාත්මකයි. හැබැයි නැවත නැවතත් ප්‍රහාරයට ලක් වෙමින් පවතිනවා. die() කියන PHP මෙතඩ් එක පළිහක් වගේ අපේ වෙබ් අඩවිය අකර්මණ්‍ය වෙන්න නොදී ආරක්ෂා කරනවා. බලමුකො ඒකෙත් අපූරුව!

හැබැයි, විමර්ශණ මෙතනින් නවතින්නෙ නෑ. index.php ගොනුවෙ permissions තිබුණෙ 664 (-rw-rw-r--) ලෙස. ඒක ටිකක් විතර අසාමාන්‍යයි වගේ (සාමාන්‍යයෙන් මේක 644 හෙවත් -rw-r--r--). මේ වෙබ් අඩවිය නිර්මාණය කළ අය වෙබ් අඩවිය සකස් කරන්න සහ host එකට upload කරන්න පාවිච්චි කරල තිබුණෙ වින්ඩෝස් මෙහෙයුම් පද්ධතිය හා ඒ පාදක කරගත් මෘදුකාංග. මේක වින්ඩෝස් වල තියෙන 'අල' permission system එක නිසා මෙතන එය 664 වුණා කියලයි මම හිතන්නේ.

මගේ ඊළඟ ඇටවුම වුණේ මේ permissions 600 (-rw-------) ආකාරයට සැකසීම. සරලව කිව්වොත්, දැන් index.php කියවන්න සහ සංස්කරණය කරන්න පුළුවන් සර්වරය පැත්තෙන් ඒ ගොනුවෙ අයිතිකරු ලෙස ඉන්න userට පමණයි. අනෙක් අයට කිසිම දෙයක් කරන්න බැහැ. කලින් තිබුණු ක්‍රමය අනුව අදාළ පරිශීලකටත්, කණ්ඩායමටත් මේ අවසර ලැබී තිබුණා. මේ නව permission සැකසීම මගින් මම සොයාගන්න අදහස් කළේ කලින් කිව්ව bot හෝ ස්වයංක්‍රීය උපක්‍රමය ධාවනය වෙන්නෙ අදාළ පරිශිලක යටතේම ද කියන එක.

මේ ආගන්තුක කේත කොටස javascript වීම නිසා ඇති වුණු සැකයක් ඔස්සේ  (මේ දැන් මොහොතකට පෙර) කළ සෙවීමකදී jQuery සහය සඳහා පාවිච්චි කරන jquery.js ගොනුවත් මෙලෙසම ආසාදනය වී ඇති බව දැනගන්න ලැබුණා. නමුත් එය Javascript ගොනුවක් නිසා කලින් වගේ ප්‍රතිපල බාහිරයට පෙනුනේ නැහැ. තවදුරටත් සොයා බැලීමේදී මුළු වෙබ් අඩවියෙම විවිධ තැන් වල තියෙන index.php ගොනු වලටත් javascript ගොනු වලටත් මෙය ආසාදනය වී ඇති බව සොයාගන්න හැකි වුණා. මට හීන්දාඩිය දාන්න ගත්තේ දැන්. තවදුරටත් සොයා බැලීමේදී මේ ගොනු බොහොමයක permissions තිබුණේ 644 (-rw-r--r--) ආකාරයෙන් බවත් නිරීක්ෂණය වුණා. මේ (permissions) නිරීක්ෂණයත් එක්කම මම කලින් ඡේදයෙ විස්තර කළ ඇටවුමේ ප්‍රතිපල ලැබෙන තෙක් බලා සිටීම අනවශ්‍ය කාරණයක් බවට පත් වෙනවා.

සියළුම නිරීක්ෂණ සලකා බලා මගේ අවසාන නිගමනය මෙය web hosting සේවාව සපයන ආයතනයේ වරදකින් සිදු වුණා කියන එක. වෙබ් අඩවි ලඝු සටහන් වලත් වැදගත් යමක් සටහන් නොවී තිබීම නිසා, මෙය HTTP හරහා වෙනත් පාර්ශවයක් අනවසර පිවිසීමක් ලබාගෙන සිදු කළ දෙයක් නොවෙයි කියන එක පැහැදිලියි.

---

අද සටහන අනවශ්‍ය පරිදි දීර්ඝයි කියා මට හිතෙන්නේ.... සුළුවෙන් හරි අපැහැදිලි තැනක් තියෙනවනම් comment එකක් දාන්න.... මම තවත් සරල කරලා විස්තර කරන්නම්.

ඒ වගේම මේ ක්ෂේත්‍රයේ අත්දැකීම් තියෙන අයගෙ උපදේශත් මේ ලිපියට ප්‍රතිචාර හෝ ඊමේල් ආකාරයෙන් බලාපොරොත්තු වෙනවා. (cyber forensics කියන්නෙ මේවද මන්දා.... :-/ )

විමර්ශණ කෙසේ වෙතත් නත්තලත් ළඟටම ඇවිත්.... ඉතින්... මගේ බ්ලොග් අඩවියට යන එන හැම දෙනාටම හැකර් ප්‍රහාර වලින් තොර සාමකාමී සුභ නත්තලක් වේවා කියල ඔන්න මගෙනුත් නත්තල් සුභපැතුම්! :-)





පසු සටහන (2009/12/25):
මේ සටහනේ අන්තර්ගතය ලෙස malicious source code කොටස් සඳහන් කිරීම නිසා විවිධ වයිරස් නාශක මගින් මගේ බ්ලොග් අඩවිය අවහිර කර ඇති බව දැනගන්න ලැබුණා. ඒවා කේත ලෙස නොව පාඨ ලෙස render වන නිසා හානි රහිතයි. මෙය වයිරස් නාශක මෘදුකාංග වල සිදුවූ වරදක් (False Positive).


Image credit: Ravin Perera

මෙය වළක්වන්න අදාළ source code සියල්ල පිළිබිඹු (images) ලෙස යොදන්න සිදු වුණා. නමුත් ඒ ඒ තැන් වලට අදාළ කේත කොටස් අවශ්‍ය නම් පහත දැක්වෙන සබැඳියෙන් බාගත කරගත හැකියි.

  http://www.4shared.com/file/180832826/c4c709df/altcodetxt.html
Password: malcode

(ඔබ වින්ඩෝස් මෙහෙයුම් පද්ධතිය පාවිච්චි කරනවා නම් මේ ගොනුව විවෘත කරන්න wordpad මෘදුකාංගය යොදාගන්න -- notepad පාවිච්චි කරන්න එපා)

යොමු:
http://forum.avast.com/index.php?topic=52588
http://groups.google.com/group/techkatha/browse_thread/thread/ab92437e0054fcec

මේ වින්නැහිය ගැන මට දැන්වූ සියළුම දෙනාට මගේ හෘදයාංගම ස්තුතිය පිරිනමනවා! :)

Merry X'mas to you all again!!

43 comments:

  1. අප්පා ලෝක ප්‍රශ්නයක් නෙ....මොනවා වුනත් සොයා ගැනිම ඉස්තරම්

    ReplyDelete
  2. අයියා, ඔයාගෙ මිෂන් ඉම්පොසිබල් වැඩ නියමයි. හරි ආසාවෙන් කියෙව්වේ. ඔයාටත් සුභ නත්තලක් වේවා!!

    ReplyDelete
  3. well done oneday u will become a it foresic consultant

    ReplyDelete
  4. මටත් මීට ටිකක් සමාන වැඩක් උනානෙව කාලෙකට කලින්. හැබැයි ඒ තියෙන ෆයිල් එක වෙනස් කිරීමක් නම් නොවෙයි, අලුත්ම ෆයිල් වගයක් මගේ සර්වරේට පැටවිලා.

    හොස්ටිං ආයතන නං ජීවිතේට තමන්ගෙ වැරැද්ද පිලිගන්නෙ නං නෑ :P අපිවම ප්‍රෙස් කරන්න හදනවා මිසක්.

    කොහොම උනත් මේ Permission ගැන දැනුවත් කිරීමට නම් ස්තූතියි. මමත් මගේ ෆයිල් වල පර්මිෂන් තත්වය හොයලා බලලා නිවැරදි කරන්න ඕනේ.

    වර්ඩ්ප්‍රෙස් පාවිච්චි කරන අයට නම් මට කියන්න තියෙන්නේ wordpress වල security holes නැතත් අපි පාවිච්චි කරන third party plugin වල තියෙන්න පුලුවන්. ඒවා හරහා කෙනෙකුට අපේ ෆයිල් වලට රිංගන්න පුලුවන් වෙයි. මගේ සිද්ධියෙදි උනේ එහෙම දෙයක් කියලා දැන් මට හිතෙනවා.

    ReplyDelete
  5. හැබයි මට උනේ ඕකෙ අනිත් පැත්ත ඇටෑක් වෙච්ච සයිට් එකක් මට මේන්ටෙනන්ස් වලට දුන්න. ඒක හදන්න ගිහින් මගේ අනිත් වෙබ් සයිට් වලටත් ඇටෑක් කරන්න ගත්ත. ඇටෑක් කරන්නේ හැම නිතරම 444 දාල තිබුණු ෆයිල් පර්මිෂන් හිටන් වෙනස් කරල. දාල තිබුණු පාස් ව‍ර්ඩ් සේරම මාරු කරල තමයි ‍නවත්ත ගත්තේ. ඒ සයිට් සේරම ගූගල් එකෙන් පවා බ්ලොක් කරල තිබුණා. වෙබ්මාස්ටර් ටූල්ස් වලින් තමයි ආපහු හදාගත්තේ.

    සයිට් එ‍කේ ස්ක්‍රිප්ට් එක දාද්දී පොඩ්ඩක් වෙනස් කරල දාන්න ගෙඩි පිටින් දාන්න එපා. උදා: . එක [තිත] හෝ [dot] @ එක [at] වගේ. බොහෝමයක් ෆෝරම් වල ඔය උපක්‍රමේ පාවිච්චි කරනව දැකල තියෙනවා.

    ReplyDelete
  6. Ela, kiyawana kota nam therenawa. Api karanna giyoth...
    But niyamai. Ube "yaluwo" hodata weda ;)

    ReplyDelete
  7. මචං ඔයගේ බ්ලොග් එකෙත් තවම Script එක තියෙනව වගේ මගේ Avast එකෙන් සයිට් එක බ්ලොක් ක‍රනවා (http://blog.shaakunthala.com/2009/12/hacker.html\{gzip}), මමත් ක‍රපු සයිට් කිහිපයකටම ඔයවැඩේ උනා මම joomla වලින් ක‍රපු එකක හැම ෆොල්ඩර් එකකම තිබුන index ෆයිල් වල ඔය වගේ ආගන්තුක කේතයක් තිබුනා ඊට අමත‍රව mySql database එකෙත් එකතැනක ඔය කේතය ගබඩාවෙලා තිබුනා ඒ හැම තැනකම තියෙන එව ඉවත් ක‍රනකම් නවත්වගන්න හ‍රි අමාරුවෙයි,
    මගේ එකම server එකේ තිබුන හැම සයිට් එකකටම බොවෙලයි නැවතුනේ, මමටනම් Server එක සම්පුර්නයෙනන්ම මකල අලුතෙන් හැම සයිට් එකක්ම ස්ථාපනය ක‍රන්න උනා,

    ReplyDelete
  8. @Dilshan,
    1. Infect වුණේ මගේ බ්ලොග් එක නෙවෙයි.
    2. Script එක මගේ බ්ලොග් එකේ තියෙන්නෙ publish කළ source code ආකාරයෙන්.

    ඒ නිසා මෙතන මගේ වරදක් නැහැ. මේක False Positive එකක්.

    අත්දැකීම් බෙදා හදා ගත්තටත්, Virus Warning එක ගැන දැන්නුවටත් බොහෝම ස්තුතියි :) . කීප දෙනෙක්ම ට ඒ ගැන පුද්ගලිකව දැනුම් දුන්නා. මේ ගැන Avast එකටත් දැන්නුවා.

    අන්තිම පියවර ලෙස මේ කේත සියල්ලම png image විධියට දාන්න පුළුවන්.

    ReplyDelete
  9. This comment has been removed by a blog administrator.

    ReplyDelete
  10. පට්ට ගේමක්නේ...
    internet security පැත්තත් ආස හිතෙන පැත්තක් නේ....
    ලිපිය සම්පූර්ණයෙන්ම තේරුනේ නෑ. මොකද මට ඔය java script ගැන මේලෝක idea එකක් නැති නිසා.
    අනික මට ඔය HTML,PHP වස කම්මැලියිනේ....මම අපේ සයිට් එකට pdf generation කෑල්ල තාම හරියට දාගන්න බැරි උනා. කොහොම හරි ලස්සනට හදලා ඉවර කරන්න ඕන.
    මගේ කුතුහලට ඇවිස්සුවට තැන්කූ කිව්ව..

    ReplyDelete
  11. ඔන්න Virus Warning අහවරයි! පෝස්ට් එක පොඩ්ඩක් විතර edit කළා.

    @sanjeewa,
    කුණුහරුප මතක් වෙනව නම් ඒව ලියන්න එපා -- කුණුහරුප මකනවා

    @සුසිත,
    මේක තේරුම් ගන්න javascript දැනගන්න ඕනෙ නෑ.
    අවශ්‍යතාව = Internet Programming වල මූලිකාංග (basics) පිළිබඳ දැනුම + සුපරීක්ෂාකාරී මනස

    PHP අමාරු නෑ කොල්ලෝ... උඹ දන්නවනෙ programming වල basics... PHP වලට පොඩ්ඩක් ටියුන් වෙයං.... ඉන් පස්සෙ උඹ හීනෙනුත් code ලියයි. :P

    ReplyDelete
  12. සැහෙන හොද අභියොගයක්
    තාමත් නිවැරදි පිළියමක් සොයා ගන්න බැරි වුනාද?

    එත් මමත් හිතන්නේ මෙක එයාලගේ න් සිදු වුනු දෙයක් කියලයි
    මටත් මතකයි කලින් ඉන්දරෙටත් මෙ වගේ ඇබැද්දියක් වුනා
    ඔයාගේ නිරික්ෂණය සැහෙන්න හොදයි හොද ඇහැක් වගෙම හොද මොළයක් නැත්නම් අතර මං වෙලා අල්ලලා දානවා.
    එයාලගේ සර්වර් වල ස්වයංක්‍රිය ස්ක්‍රිප්ට් එකකින් මෙක වෙනවා ඇති, එක කරන්න ඇත්තේ යම්කිසි වෙබ් අඩවියක් තොරාගෙන විය හැකියි. එක හැමොටම අදාල නැ
    නමුත් සර්වර් වල තියෙන හැම අඩවියකටම මෙක යනවා
    සාමාන්‍යයෙන් වැඩි කාලයක් නොතියා වෙනස් කම් වලට භාඡනය කරත් මෙක වෙනස් කරලා නැහැ නෙද?
    එකෙන් තෙරෙනවා නේ වැඩේ

    ReplyDelete
  13. ela kiri yaluwa , wade maxaa , lesatama oyala wage

    danna deyak apita kiyala dena ayata thawa thath aluth aluth dewal igenaganna labenna one ..

    kapuwa malli

    ReplyDelete
  14. පට්ට ගේමක්, අත්දැකීම් බෙදා ගත්තට ස්තුතියි !!!

    ReplyDelete
  15. @නුවන්සි,
    ඔව්, සර්වර් වලට අනවසර පිවිසීමක් ලබා ගන්න හැකි වුණු තක්කඩියෙකුගේ වැඩක්. හැබැයි මම නිවැරදි පිළියමක් හොයා ගත්තා...

    @Kasun, @Saranga,
    ස්තුතියි මිත්‍රවරුනි. :-)

    @All,
    මෙන්න කියවන්න Episode 2 !
    http://blog.shaakunthala.com/2009/12/bash.html

    ReplyDelete
  16. අයියා වැඩර් කියලා අපි ඒ කාලේ ඉදන්ම දන්නවනේ ඉතිං :D

    ReplyDelete
  17. මචා මම මේක වැරදි තැන දාන්නේ. එත් කවුරුහරි www කෑල්ල නැතුව යුද්ධ හමුදාවේ web site එකට (http://army.lk) ගිහින් බැලුවොත් පෙනෙයි. ආමි සයිට් එකෙන් කවුරුහරි ගූගල් මනී ගරනවා. (http://www.army.lk අවුලක් නෑ) හැමතැනටම ඊමේල් කළා. ප්‍රතිචාරයක් නැත. ටෙලිෆෝන් කරලා ඕවා කියලා සුදුවෑන් වල යන්න කම්මැලියි. :P

    ReplyDelete
  18. http://geniushackers.com/blog/2009/06/05/mass-injectioninfected-more-than-40000-web-sites/

    ReplyDelete
  19. @Anonymous,
    ඔයා කිව්වට පස්සේ මම දැක්කේ... ඊට පසුවත් සතියක් විතර තිබිලා ඔන්න දැන් හදලා.... මතකනේ කලින් වතාවකුත් ඕකට ගේමක් දීලා තිබුණා.

    @--lanKa--,
    Thanks for the link, dude! :-)

    ReplyDelete
  20. @--lanKa--,
    කිරි අප්පට බල්ලො පැනපි කිව්වලු!! දැනුයි කියවල ඉවර කළේ. ඇඟ හිරි වැටෙන නිව්ස් එකක්නේ... O_o

    අපි නොදැනුවත්ව මේ වගේ වෙබ් අඩවි කීයක් නං තව තියෙනවා ඇතිද?

    ReplyDelete
  21. udawuvak denna puluvanda Shakunthala malli?
    mama SINHALA BLOG kiyavanaya kiyana site eke blog kiyawana kenek. namuth ada mama e SITE eka click kalama menna me..vidihata PAGE eka vatenawa.

    Forbidden

    You don't have permission to access /index.php on this server.

    Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
    Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at blogs.sinhalabloggers.com Port 80

    mekata mokada karanne kiyala kiyanvda?

    ReplyDelete
  22. මේක ඔයාගේ වරදක් නෙවෙයි. සිංහල බ්ලොග් කියවනය මේ දවස් වල නවීකරණය කරමින් පවතිනවා. ඒ නිසා කලාතුරකින් වෙලාවක ඔහොම වෙන්න පුළුවන්. බලන්න, දැන් ඒක හදලා. :-)

    ReplyDelete
  23. බොහොම සතූතියි ශාකුන්තල මල්ලි ප‍්රතිචාරයට.ඔයාට ජය ප‍්රාර්තනා කරනවා.

    ReplyDelete
  24. අප්පා අයියා මාර ගේමක් නේ දිලා තියන්නේ , මටත් මේ වගේ වැඩක් උනා , මමත් joomla script එකක් freehosting එකක host කර කර ඉන්න කොට මටත් මේකම උනා
    (joomla කොහොමත් vulnerable වැඩි නේ) , පස්සේ බැලින්නම් වෙලා තියන්නේ script එකේ index.php , home.php වගේ default root එකට එන files වලට malicious code එකක් inject වෙලා ( iframe එකක malicious code එකක් hidden වෙලා තියනවා russian site එකකට) . මම නම් මුලින්ම හිතුවේ මේක Sql injection එකක් කරලවත් ඇවිල්ලද කියලා , පස්සේ ටිකක් google කලාම තමා තේරුනේ malicious code එක ඇවිල්ලා තියන්නේ malicious pdf එකක් vulnerable වෙලා .මේ pdf එකෙන් තමන්ගේ පරිඝනකයට පොඩි .vbs script එකක් download වෙලා , පස්සේ ඔක්කොම keystorke record වෙනවා (මේක මට හොදටම තේරුනේ මම file hosting වල files clean කරලා , මුරපද වෙනස් කරලා අලුතෙන් දැම්මත් ආයි site එක injection වෙන නිසා ) , එපා කරපු russian hackers ලා !! , පස්සේ මුලු හාඩ් එකම full scan එකක් දාලා සුද්ධ කරලම දැම්මා , දැන්නම් අවුලක් නෑ !! :D

    ReplyDelete
  25. බොහොම් ස්තූතී! මට ගොඩක් උදවු වුනා! die() තමයි වැදගත්ම!

    ReplyDelete
  26. මට නම් මෙලොව හසරක් තේරුනේ නැති බව කිව යුතුය ........ :D

    ReplyDelete
  27. මටත් එසේමය ????

    ReplyDelete
  28. ela mach mata ube help eka one..
    man alut web ekak patan ganna inne ..

    ReplyDelete
  29. ok it is so interesting and thanks

    ReplyDelete
  30. ඔව් මේක HOSTING SERVER එකේ වැඩක් වෙන්න ඕනි. මගේ site එකක් හොස්ට් කරලා තියෙනවා free hosting server එකක. එකෙත් main page එක index .php file එකට අගින් script code එකක් auto add වෙනවා. මේක මටත් අහුවුනෙ W3 validate කරද්දී. හොස්ටින්ග් ෆිර්ම් එකට කතා කරලා විසදුමකට එන්න. ඔය permissions වැරදියට පාවිචි කරන පඬියෙක් ගේ වැඩක් වෙන්න ඕනි.
    මෙන්න auto add වුනු code එක,

    ReplyDelete
  31. mage lagadi upload kala personal web site 1 tath oya wadeta samana wadak una.. bt eka une kohomada kiyala mama hoya gaththa.. eka karala thiyenne mage machin eke thibuna virus or spyware 1kin.. mama site 1e update wagayak local machin 1n karala index.php eka upload kalama oya wadema unaa. eta passe sathiyakin withara mulu web 1ma gannama deyak na hama page 1katama oya magula ringala. server 1ta virus or spyware mama ma upload karagaththa num ithin widawannath oni mamane :P

    ReplyDelete
  32. මට හිතා ගන්න පුලුවන් කාපුකට්ට, හැබැයි මටනම් මෙ ගැන තෙරෙන්නේ නැහැ, මම වෘතියෙන් ඉලෙක්ට්‍රොනික් ශිල්පියෙක්....මට කම්පියුටර් ලැන්ග්වෙජ් ගැන වැඩි වැටහිමක් නැහැ, කොහොමත් ස්තූතියි මේ ගැන දැනුවත් කලාට

    ReplyDelete
  33. කොහොමද ?

    ReplyDelete
  34. මචං , ම්ම්ම් , මට හිතෙන හැටියට නම් XSS - Cross site Scripting Attack එකක් ,
    ඔයාගේ වෙබ් අඩවියට එන අයගේ කුකිස්‌, වගේ තව විස්ටහ්ර ගන්න කරපු දෙයක් ,
    කැමති නම් මට ඔයාගේ අඩවියේ ලින්ක් එක දෙන්න , මම පොඩ්ඩක් ටෙස්ට් කරලා බලන්නම් :)

    සුබ දවසක්

    ReplyDelete
  35. මේ වෙබ් අඩවිය කලකට පෙර නවතාදැමූ එකක්. හැකර් ප්‍රහාර නෙමෙයි... අභ්‍යන්තර ගැටළු. =)

    ReplyDelete
  36. බොහොම් ස්තූතී! so interesting.....zelanica

    ReplyDelete
  37. මේ තරම් බරපතල දෙයක් සාකච්චා වෙන අස්සේ ...මේකට අදාළ නැති ... බොහොම පොඩි ප්‍රශ්ණයකටත් මට අවසර දෙන්න.
    මගෙ බ්ලොගයේ [ maligawa.blogspot.com ] කමෙන්ට් වැටීමේ දි ඒවා දාන අයගෙ පිංතූරයත් .. උත්තර දීමේ දි මගේ පිංතූරයත් පෙන්නුම් කරන්නෙ නෑ ... ඒ මොකද කියල දැනගන්න කැමතියි.
    සෙටින්ග්ස් වලට ගිහින් හදන්න උත්සාහ කළාට හරිගියෙ නෑ.

    ReplyDelete
  38. katada puluwan mageth ekka ekathu wela web site ekak hack karanna?0782712924

    ReplyDelete

Facebook ප්‍රතිචාර