Посоветуйте, сайт взломали!

вер 1.6.2 в папке images обнаружил левый сайт

#1 4 ноября 2010 в 20:07
Сегодня мой сайт взломали, вернее сайт нормально работатет, но вдруг неожиданно потяжелел на 15 мб.
Путем анализа я обнаружил в папке images левый сайт. Слил его себе — чистый html-ый сайт на тематику ЕГЭ 2010 и ссылками на порно. Посмотрел дату заливки примерно 14.00. Поднял логи доступа. Обнаружилось что в это время чел с ip 94.100.31.74 вытворял вот: выкладываю с лога
  1. [04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
И вот уважаемые гуру теперь вопросы:
1 — /upload/userfiles/192 — это путь юзера id 192?
2 — проанализируйте пож файлик который он залил wso1_pack.pHp, у меня толку нехватает, кажется что то скверное, пркрепил его в атаче в zip
Очень хочеться услышать ответы, может у кого-нибудь уже такая была ситуешн
#2 4 ноября 2010 в 20:10
Точно шел!!! что то надо делать!!!!
/**
* WSO 2
* Web Shell by oRb
*/
#3 4 ноября 2010 в 20:31
alpik,
1. смени все пароли на ВСЕ
2. во все аплдоад директории (/upload и /images) положи вот этот файлик.
В новом релизе уже сделана проверка расширения файлов — можно будет указать вручную доступные расширения файлов для загрузки. Указанный файл будет в аплоад папках "из коробки".

1 — /upload/userfiles/192 — это путь юзера id 192?

да
#4 4 ноября 2010 в 20:55
fuze[drums] спасибо! сделал! В аплоад директории? только одна вроде, в подпапки тоже ложить?
#5 4 ноября 2010 в 21:03
А его как заливают? через подбор паролей? или есть какие-то уязвимости?
#6 4 ноября 2010 в 21:08

только одна вроде, в подпапки тоже ложить?

alpik
по одному файлу в директории /upload и /images
во вложенные не надо.
Да, кстати какая версия InstantCms?

А его как заливают?

Dimitrius
все очень просто: регишься на сайте и через "загрузить файл" грузишь)))
#7 4 ноября 2010 в 21:16

]Да, кстати какая версия InstantCms?

fuze[drums
InstantCMS v1.6.2 © 2010
#8 4 ноября 2010 в 21:30

]все очень просто: регишься на сайте и через "загрузить файл" грузишь)))

fuze[drums
O_o
#9 4 ноября 2010 в 21:46

O_o

Dimitrius
Сейчас залить файл проблематично через "загрузить файл". Судя по куску лога, расширение стоит pHp, в то же время при проверке файла — сейчас специально посмотрел 1.6.2 — имя переводится в нижний регистр, поэтому либо шел залили давно, либо хз…
#10 4 ноября 2010 в 22:11

] поэтому либо шел залили давно, либо хз...

fuze[drums
шел залили только сегодня, даю минимальный кусок логов доступа
  1. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:47 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  2. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  3. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:54 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  4. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:58 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34021 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  5. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:02 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  6. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:08 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34692 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  7.  
#11 4 ноября 2010 в 22:57

шел залили только сегодня

alpik
ваш кусок логов говорит лишь о том, что этим шелом пользовались.
очевидно, что залили используя расширение с одной заглавной буквой, НО в версии 1.6.2 это не прокатит.
В любом случае, сделайте то, что я вам посоветовал + на остальные категории выставьте правильные права, т.е. только чтение для пользователя, от которого запущен веб сервер, и проблема будет исчерпана.
#12 5 ноября 2010 в 16:43

неужели меня услышали

troid
поверь, мы про это знали, просто обычное человеческое "забыл" не позволяло… на этот раз не забыли.
#13 5 ноября 2010 в 17:51
да точно шел залили давно, версия цмски была 1.5.x
Порылся еще по другим папкам userfiles нашел еще инетерсный шел: залита картинка с расширением jpg скачал посмотрел — оказался php код в ней
#14 5 ноября 2010 в 18:58

залита картинка с расширением jpg скачал посмотрел — оказался php код в ней

alpik
Его выполнить нереально, разве ток приинклюдить.
#15 27 ноября 2010 в 06:22
какие нужно ставить права на папки /upload и /images
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.