Изголяются взломщики все более изящно. Случайно обнаружил в папке /upload файл pdf, в нем статья и гиперссыль на продвигаемый сайт с нужным анкором. Погуглил, статья такая же и там же есть и на нескольких чужих Instant-сайтах.
Прошу подсказать, в каком направлении копать. Понятно, что pdf тот удалю, но надо определить, как его залили? Где-то дыра или где-то залит шелл? Буду признателен за любые идеи или подобные случаи из собственного опыта!
Использую версию 1.9, права на папки настроены в соответствии с инструкцией, доп.плагинов нет, кроме Музыки.
#1
25 июля 2012 в 12:42
#2
25 июля 2012 в 12:47
Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?
#3
25 июля 2012 в 12:48
Об этом pdf тут была целая тема. У меня на трех сайтах сразу залили, со ссылкой на украинский женский сайт. Просто удалил и не парюсь.
Сегодня в 00:20
#4
25 июля 2012 в 12:51
Да и кстати, у меня в настройках выставлено, что пользователи не могут заливать файлы, но все равно залили.
#5
25 июля 2012 в 13:03
можешь дать ссылку на эту тему?Об этом pdf тут была целая тема.
#6
25 июля 2012 в 13:11
А пользоваться визивигом пользователи могут? Это уже такой БОЯН…что пользователи не могут заливать файлы, но все равно залили.
Тем более, что в данном случае использован он по прямому назначению, все залито разрешенное расширение в разрешенную папку.
#7
25 июля 2012 в 13:47
instantcms.ru/forum/thread7952-14.html с 203го поста
#8
25 июля 2012 в 16:00
это тоже посмотри
instantcms.ru/forum/thread10916.html
instantcms.ru/forum/thread10916.html
#9
25 июля 2012 в 17:15
Конкретно в папку /upload заливать "разрешенным же методом" никто не может.Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?
Именно в /upload, а не в его подпапки.
За ссылки спасибо! Как же будем лечить??!
Вы уверены, что лить он будет именно в эту папку и именно pdf`ы? Дыру надо обязательно закрывать.Просто удалил и не парюсь.
#10
25 июля 2012 в 18:01
В логах нашел хакера.
Залез в папку через fckeditor.
91.225.201.17 (ua, как и сайт, кстати).
Попробую разобраться детальнее, как было дело.
Залез в папку через fckeditor.
91.225.201.17 (ua, как и сайт, кстати).
Попробую разобраться детальнее, как было дело.