Посоветуйте, сайт взломали!

вер 1.6.2 в папке images обнаружил левый сайт

1
2
3
Следующая
Показаны 1-15 из 45

#1 4 ноября 2010 в 20:07

Сегодня мой сайт взломали, вернее сайт нормально работатет, но вдруг неожиданно потяжелел на 15 мб.
Путем анализа я обнаружил в папке images левый сайт. Слил его себе — чистый html-ый сайт на тематику ЕГЭ 2010 и ссылками на порно. Посмотрел дату заливки примерно 14.00. Поднял логи доступа. Обнаружилось что в это время чел с ip 94.100.31.74 вытворял вот: выкладываю с лога

[04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"

И вот уважаемые гуру теперь вопросы:
1 — /upload/userfiles/192 — это путь юзера id 192?
2 — проанализируйте пож файлик который он залил wso1_pack.pHp, у меня толку нехватает, кажется что то скверное, пркрепил его в атаче в zip
Очень хочеться услышать ответы, может у кого-нибудь уже такая была ситуешн

Отличный и надежный VPS-хостинг для портала

#2 4 ноября 2010 в 20:10

Точно шел!!! что то надо делать!!!!
/**
* WSO 2
* Web Shell by oRb
*/

Отличный и надежный VPS-хостинг для портала

#3 4 ноября 2010 в 20:31

alpik,
1. смени все пароли на ВСЕ
2. во все аплдоад директории (/upload и /images) положи вот этот файлик.
В новом релизе уже сделана проверка расширения файлов — можно будет указать вручную доступные расширения файлов для загрузки. Указанный файл будет в аплоад папках "из коробки".

1 — /upload/userfiles/192 — это путь юзера id 192?

да

🛠 docs.instantcms.ru

Сегодня в 18:24

#4 4 ноября 2010 в 20:55

fuze[drums] спасибо! сделал! В аплоад директории? только одна вроде, в подпапки тоже ложить?

Отличный и надежный VPS-хостинг для портала

#5 4 ноября 2010 в 21:03

А его как заливают? через подбор паролей? или есть какие-то уязвимости?

#6 4 ноября 2010 в 21:08

только одна вроде, в подпапки тоже ложить?
alpik

по одному файлу в директории /upload и /images
во вложенные не надо.
Да, кстати какая версия InstantCms?

А его как заливают?
Dimitrius

все очень просто: регишься на сайте и через "загрузить файл" грузишь)))

🛠 docs.instantcms.ru

#7 4 ноября 2010 в 21:16

]Да, кстати какая версия InstantCms?
fuze[drums

Отличный и надежный VPS-хостинг для портала

#8 4 ноября 2010 в 21:30

]все очень просто: регишься на сайте и через "загрузить файл" грузишь)))
fuze[drums

O_o

#9 4 ноября 2010 в 21:46

O_o
Dimitrius

Сейчас залить файл проблематично через "загрузить файл". Судя по куску лога, расширение стоит pHp, в то же время при проверке файла — сейчас специально посмотрел 1.6.2 — имя переводится в нижний регистр, поэтому либо шел залили давно, либо хз…

🛠 docs.instantcms.ru

#10 4 ноября 2010 в 22:11

] поэтому либо шел залили давно, либо хз...
fuze[drums

шел залили только сегодня, даю минимальный кусок логов доступа

mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:47 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:54 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:58 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34021 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:02 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:08 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34692 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"

Отличный и надежный VPS-хостинг для портала

#11 4 ноября 2010 в 22:57

шел залили только сегодня
alpik

ваш кусок логов говорит лишь о том, что этим шелом пользовались.
очевидно, что залили используя расширение с одной заглавной буквой, НО в версии 1.6.2 это не прокатит.
В любом случае, сделайте то, что я вам посоветовал + на остальные категории выставьте правильные права, т.е. только чтение для пользователя, от которого запущен веб сервер, и проблема будет исчерпана.

🛠 docs.instantcms.ru

#12 5 ноября 2010 в 16:43

неужели меня услышали
troid

поверь, мы про это знали, просто обычное человеческое "забыл" не позволяло… на этот раз не забыли.

🛠 docs.instantcms.ru

#13 5 ноября 2010 в 17:51

да точно шел залили давно, версия цмски была 1.5.x
Порылся еще по другим папкам userfiles нашел еще инетерсный шел: залита картинка с расширением jpg скачал посмотрел — оказался php код в ней

Отличный и надежный VPS-хостинг для портала

#14 5 ноября 2010 в 18:58

залита картинка с расширением jpg скачал посмотрел — оказался php код в ней
alpik

Его выполнить нереально, разве ток приинклюдить.

Все не то, чем кажется и не наоборот...

#15 27 ноября 2010 в 06:22

какие нужно ставить права на папки /upload и /images

1
2
3
Следующая
Показаны 1-15 из 45

Чужой блог в профиле пользоват

Клуб без ограничений прав

Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Посоветуйте, сайт взломали!

Похожие темы

[ЕСТЬ РЕШЕНИЕ] Взломали сайт

[ЗАКРЫТО] Кто нибудь делал сайт по продаже музыки на Инстанте или посоветуйте движок?

Кто какие платежные системы использует на сайте? Посоветуйте

Посоветуйте хостинг

посоветуйте модуль для слабовидящих

Атака на телеграмм чат

InstantCMS Team

О проекте

Поддержка

Дополнения