Посоветуйте, сайт взломали!

вер 1.6.2 в папке images обнаружил левый сайт

#31 26 октября 2011 в 19:45

то это вроде C99madShell

krz
Ну все… капец теперь… ток презнаджек. других вариантов нету. ;)
#32 26 октября 2011 в 20:25

шелл — вредонос в чем отличие ?
а как вообще проверить есть шелл — вредонос или нет ?

lezginka.ru
Не забивайте голову. Шелл — это просто оболочка для управления.
А уж вредная она или полезная зависит от целей пользователя.

Проверить я уже написал как: сравнить все папки и файлы что на сайте с чистыми.
#33 26 октября 2011 в 20:57
У знакомого была аналогичная проблема, всё грешил на скрипт, дескать дыра где то, позже поняли, что виной тому хостер- тупо кривые настройки сервера+не обновлённые модули ПО. Пришлось переезжать, хостер отказался что то делать просто.
#34 26 октября 2011 в 21:36
Сегодня в папке upload обнаружил файлик file_php.fla знающие проанализируйте что за гадость? прикепил в архиве…
#35 26 октября 2011 в 21:42
Сам же и отвечу, нашел в нете про него www.xakep.ru/magazine/xa/113/074/1.asp

c99madshell — Web shell
Web shell — система управления сервером через веб интерфейс.

Удобный обозреватель и редактор файлов на сервере
Функциональный SQL-клиент
Командная строка
Выполнение произвольного PHP-кода
Поиск файлов .htpasswd, config.inc.php, suid, sgid, service.pwd, bind_bash, .fetchmail, etc
Работа с буфером
Менеджер процессов
Базовая оценка безопасности сервера
Работа при включенном SafeMode-режиме
Совместимость со всеми операционными системами
Защита путем авторизации (логин/пароль)

Из основных нововведений, приобретенных скриптом, отметим:
Упрощенное отображение (никакой лишней графики, только текст и псевдографика)
Невидимость для антивирусов (скрипт полностью переписан, тело закодировано)
Уменьшенный размер (удалено все лишнее, размер составляет 44 Кб)
Отсутствие GET-запросов (все запросы передаются POST-методом)
#36 26 октября 2011 в 21:45
Это и есть один из распространенный шеллов — C99Shell

UPD
пока я смотрел, уже и сам разобрался. )
#37 26 октября 2011 в 22:16
как понимаю, название у скрипта может быть любым, или все же можно вычислить по параметрам?
#38 26 октября 2011 в 22:23
Название, размер могут быть любыми.
Более того, он может быть уже прописан в теле любого файла сайта.
#39 26 октября 2011 в 23:27
Посетитель вот это засветился…
#40 26 октября 2011 в 23:46

Да что вы такое говорите? Никакой код не может быть "вредоносом", вредить могут только люди. Я, к примеру, не навредил же вам ;)

user_id=0
что это было? объявился таки?) Продолжай, честно сказать игры в прятки уже надоели.

Ты навредил мне лично и моему времени, которое я мог бы потратить на более полезные дела, нежели тебя ловить.
#41 17 ноября 2011 в 07:34
в .htaccess прописали это
  1. RewriteRule ^(.*)$ http://сайт-взломщика.ru/tds?r=4069&l=11 [L,R=302]
это обычно через фтп делают или еще есть варианты?
#42 17 ноября 2011 в 15:09
кто сможет объяснить сие сообщение:
-----------------------------------------------

Однако среди Ваших файлов также с большой вероятностью находится веб-шелл, поэтому рекомендуем произвести поиск по файлам по описанным в нашей Помощи функциям, а также по create_function, headers_sent и preg_match с флагом e.

#43 17 ноября 2011 в 16:48

это обычно через фтп делают или еще есть варианты ?

lezginka.ru
Да, есть варианты.
#44 17 ноября 2011 в 19:53

Да, есть варианты.

...
Если знаете, то как с этим бороться?
#45 17 ноября 2011 в 20:57
Серый, как ты ник не менял, медали выдают :))
более подробно про варианты: — произвести поиск по файлам create_function, headers_sent и preg_match с флагом e.?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.