И еще один взлом версии 1.9 Need help!!!

69.65.40.100 vseploho.me — - [11/May/2012:10:50:49 +0400] "POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1" 200 42826 "-" "-" 32364 0

Может это просто одна из попыток?…

у меня тоже .php?-sn не сработало…
А есть кто еще с хостинга Sweb?

Первая — это попытка взлома, но она не сработает. Если заметили, там очищенный js код. Кто-то пытался, но не смог.
Вторая
Это уже серьезно. Можно выполнить произвольный код. Код, который выполнен в логах не увидим, он передается post запросом. Но, только если php собран как cgi. Есть большие сомнения в том, что взломали так. Во-первых, один запрос, без проверки. Скорее всего бот, просто сканирует на уязвимость. У Sweb обычно php собран как модуль. Сам несколько лет там хостюсь, побывал на разных тарифах. И везде было так.
PrimHunter, а вы к хостеру обратились? Саппорт вроде бы нормальный. Даже по мелочам отвечают.
Я бы на вашем месте проверил и логи фтп. Если шаред хостинг, то доступа к ним, наверно, нет. Пишите хостеру. Должны найти как взломали.

К хостеру обратился, но к сожалению ничем помочь они не смогли. Точнее, видимо не захотели.

Х: В панели управления, "Log файлы", включите логи посещений, после чего, как повторится проблема, фиксируете ее время и смотрите по логам, какие шли запросы к сайту, соответственно по этим данным и закрываете уязвимости.

Я: Логи включены, но знаний, что бы разобраться, к сожалению не хватает… нет ли у вас подобной услуги — найти дырки, и вынести какие-то рекомендации?

Х: Нет, к сожалению таких услуг у нас нет.

По поводу фтп — если б был доступ к фтп — пошалили бы и с другими сайтами, которые лежат на том же фтп в папках рядышком.

Кстати, часть картинок после первого раза была с сайта удалена, а все остальное на первый взглад не тронуто, из чего дедуктивным методом можно делать вывод, что доступ получен через редактор…

69.65.40.100 — это просто кто-то пробивал на уязвимость скриптом по списку сайтов. потому как он тыкнулся и ушел сразу. а вот 92.50.167.130 — ломал. причем он пробовал сначала через логинзу логинится используя известную дырку с именем пользователя ввиде js кода, но она прикрыта. потом он пробовал отправлять личные сообщения видимо с каким то кодом внутри — то же не вышло. в качестве маяка у нас создание поста от админа в блоге админа

вот он webcache.googleusercontent.com/search?q=cache:vseploho.me/blogs/1/my-pishem-pisma-prezidentu.html&strip=1

хитро… Мне кажется для такого нужно очень хорошо движок знать…

Ну что ж… очень плохо… По итогам получается, что кто-то где-то как-то убивает половину базы (учитывая, что сайт совсем мелкий, порядка 300 человек в сутки), а оставшуюся половину меняет на то, что его левая пятка пожелает; и вариантов решения проблемы не предвидится.
С другой стороны — этот сайт был просто так, для души. Доход он не приносил, да и не планировался. Создан был три года назад в момент сложной жизненной ситуации, работал, помогал людям.
Но я знаю, кто против существования моего сайта. Есть подобный сайт, так скажем "конкуренты", mneploho.net. Появились позже, испоьзуют тот же инстант, быстро раскачались, и именно люди с этого ресурса сломали мой сайт, в этом я уверен на 146%, и даже готов предоставить переписку с одним из завсегдатаев того сайта с угрозами.
Самое печальное — то, что люди готовы идти на подобные поступки, не парясь никакими моральными принципами — у них "бизнес".
Что ж, я уже готов признать поражение — бизнес в очередной раз перечеркнул все добрые начинания.

Domain Name: MNEPLOHO.NET
Creation Date: 25-jan-2009

Domain Name:VSEPLOHO.ME
Domain Create Date:10-Feb-2010 07:23:08 UTC

Вроде ваш попозже будет…

жалко жалко конечно создателя, мне лично очень обидно, что создателю ничего делать и просто остается идти опускать руки перед не справедливостью. А так советы ну раз. проверьте кто у вас админы не крысы ли и модеры на всякий случай. перезалейте весь сайт все скрипты удалите оставьте только папки с картинками от статей блогов профилей. вкл там, что есть. чтоб найти шел или что то еще скрипт плохой вроде тут слышал от яндекса у вас там есть или другие способы. закройте ваше доступ к админке полностью строчкой deny from all
allow from ваш ip в папке админ файл .htaccess. не сдавайте главное! надеюсь мне не придется сталкиваться с такой ситуацией очень не хочется. но всегда стараюсь защиту улучшать и следить по возможности. пароль сделайте хороший еще. вкл если такое возможно, что админ и его права только по 1 ip привязка и восстановления пароля отключите или пропишите, что нельзя использовать к вашему mail.

а еще главное всегда админы твердят и правильно молодцы предостерегают нас всех. это в папке includes фаил config.inc.php выставите 644 права и лучше на все скрипты папки которые не требуют 0777 или 0775 (хотя у меня только 777 работает если так)Сражайтесь до конца до последнего. Главное победа и не сдаваться. сайт пока там на локалхост(пока будете чинить) перенесите или выключите доступ к нему.

а еще главное всегда админы твердят и правильно молодцы предостерегают нас всех. это в папке includes фаил config.inc.php

В конфиге нет логина и пароля админа.
В базе есть только в мд5
Доступ к конфигу и к базе ни чего не даст в данном случае.
Ломают через запросы

Почитайте сайт побольше, а так думаю строчку $_CFG['db_pass'] будет очень интересно получить))) любому кто хочет взломать!

Читаю ещё с версии 1.5.3
Для того, чтобы получить доступ к phpmyadmin, или к серверу, не достаточно знать пароль пользователя базы.
В базе можно почудить, не вопрос.
Но когда за 3 минуты в двиге 1.9 вас ломают так, что становится известным Ваш логин и пароль админа, я просто не знаю, что сказать.А это реально было.

ммм ну даже не знаю. вот сайт Инстанта же работает сейчас значит. что то у вас или шелл где то. может при обновлении двигов произошло так(что мало вероятно).

Речь не обо мне, моему товарищу просто сказали,-хош, твой инстант поломаем, чисто ради прикола...
И через 3 минуты прислали ему логин и пароль его сайта.
Движок 1.9
У меня после этого ваще всё опустилось.