Посоветуйте, сайт взломали!

вер 1.6.2 в папке images обнаружил левый сайт

 
Посетитель
small user social cms
Медаль
Сообщений: 194
Сегодня мой сайт взломали, вернее сайт нормально работатет, но вдруг неожиданно потяжелел на 15 мб.
Путем анализа я обнаружил в папке images левый сайт. Слил его себе - чистый html-ый сайт на тематику ЕГЭ 2010 и ссылками на порно. Посмотрел дату заливки примерно 14.00 . Поднял логи доступа. Обнаружилось что в это время чел с ip 94.100.31.74 вытворял вот: выкладываю с лога
Код PHP:
  1. [04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
И вот уважаемые гуру теперь вопросы:
1 - /upload/userfiles/192 - это путь юзера id 192?
2 - проанализируйте пож файлик который он залил wso1_pack.pHp, у меня толку нехватает, кажется что то скверное, пркрепил его в атаче в zip
Очень хочеться услышать ответы, может у кого-нибудь уже такая была ситуешн
Прикрепленные файлы:
wso1_pack_89205.zip | 18.48 Кб | Скачали: 501
Посетитель
small user social cms
Медаль
Сообщений: 194
Точно шел!!! что то надо делать!!!!
/**
* WSO 2
* Web Shell by oRb
*/
Реклама
cms
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4385
alpik,
1. смени все пароли на ВСЕ
2. во все аплдоад директории (/upload и /images) положи вот этот файлик.
В новом релизе уже сделана проверка расширения файлов - можно будет указать вручную доступные расширения файлов для загрузки. Указанный файл будет в аплоад папках "из коробки".

1 - /upload/userfiles/192 - это путь юзера id 192?
да
Редактировалось: 3 раз (Последний: 4 ноября 2010 в 20:51)
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 194
fuze[drums] спасибо! сделал! В аплоад директории? только одна вроде, в подпапки тоже ложить?
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1224
А его как заливают? через подбор паролей? или есть какие-то уязвимости?
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4385
alpik:
только одна вроде, в подпапки тоже ложить?
по одному файлу в директории /upload и /images
во вложенные не надо.
Да, кстати какая версия InstantCms?

Dimitrius:
А его как заливают?
все очень просто: регишься на сайте и через "загрузить файл" грузишь)))
Редактировалось: 2 раз (Последний: 4 ноября 2010 в 21:11)
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 194
fuze[drums:
]Да, кстати какая версия InstantCms?
InstantCMS v1.6.2 © 2010
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1224
fuze[drums:
]все очень просто: регишься на сайте и через "загрузить файл" грузишь)))
O_o
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4385
Dimitrius:
O_o
Сейчас залить файл проблематично через "загрузить файл". Судя по куску лога, расширение стоит pHp, в то же время при проверке файла - сейчас специально посмотрел 1.6.2 - имя переводится в нижний регистр, поэтому либо шел залили давно, либо хз...
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 194
fuze[drums:
] поэтому либо шел залили давно, либо хз...
шел залили только сегодня, даю минимальный кусок логов доступа
Код PHP:
  1. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:47 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  2. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:52 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 33359 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  3. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:54 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  4. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:14:58 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34021 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  5. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:02 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 56850 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  6. mozlife.ru 94.100.31.74 - - [04/Nov/2010:14:15:08 +0300] "POST /upload/userfiles/192/wso1_pack.pHp HTTP/1.0" 200 34692 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)"
  7.  
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4385
alpik:
шел залили только сегодня
ваш кусок логов говорит лишь о том, что этим шелом пользовались.
очевидно, что залили используя расширение с одной заглавной буквой, НО в версии 1.6.2 это не прокатит.
В любом случае, сделайте то, что я вам посоветовал + на остальные категории выставьте правильные права, т.е. только чтение для пользователя, от которого запущен веб сервер, и проблема будет исчерпана.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Sometime CMS Community
Посетитель
no avatar
Сообщений: 88
fuze[drums:
]2. во все аплдоад директории (/upload и /images) положи вот этот файлик.
В новом релизе уже сделана проверка расширения файлов - можно будет указать вручную доступные расширения файлов для загрузки. Указанный файл будет в аплоад папках "из коробки".
неужели меня услышали
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4385
troid:
неужели меня услышали
поверь, мы про это знали, просто обычное человеческое "забыл" не позволяло... на этот раз не забыли.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 194
да точно шел залили давно, версия цмски была 1.5.x
Порылся еще по другим папкам userfiles нашел еще инетерсный шел: залита картинка с расширением jpg скачал посмотрел - оказался php код в ней
Sometime CMS Community
Посетитель
no avatar
Сообщений: 88
проблематично искать такие файлы ((
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.