Взломали 1.9 - ищу лазейку

#1 25 июля 2012 в 12:42
Изголяются взломщики все более изящно. Случайно обнаружил в папке /upload файл pdf, в нем статья и гиперссыль на продвигаемый сайт с нужным анкором. Погуглил, статья такая же и там же есть и на нескольких чужих Instant-сайтах.

Прошу подсказать, в каком направлении копать. Понятно, что pdf тот удалю, но надо определить, как его залили? Где-то дыра или где-то залит шелл? Буду признателен за любые идеи или подобные случаи из собственного опыта!

Использую версию 1.9, права на папки настроены в соответствии с инструкцией, доп.плагинов нет, кроме Музыки.
#2 25 июля 2012 в 12:47
Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?
#3 25 июля 2012 в 12:48
Об этом pdf тут была целая тема. У меня на трех сайтах сразу залили, со ссылкой на украинский женский сайт. Просто удалил и не парюсь.
#4 25 июля 2012 в 12:51
Да и кстати, у меня в настройках выставлено, что пользователи не могут заливать файлы, но все равно залили.
#5 25 июля 2012 в 13:03

Об этом pdf тут была целая тема.

Man
можешь дать ссылку на эту тему?
#6 25 июля 2012 в 13:11

что пользователи не могут заливать файлы, но все равно залили.

Man
А пользоваться визивигом пользователи могут? Это уже такой БОЯН…
Тем более, что в данном случае использован он по прямому назначению, все залито разрешенное расширение в разрешенную папку.
#9 25 июля 2012 в 17:15

Залили разрешенный для заливки файл разрешенным же методом, в папку для этого предназначенную. В чем заключается взлом?

floppox
Конкретно в папку /upload заливать "разрешенным же методом" никто не может.
Именно в /upload, а не в его подпапки.

За ссылки спасибо! Как же будем лечить??!

Просто удалил и не парюсь.

Man
Вы уверены, что лить он будет именно в эту папку и именно pdf`ы? Дыру надо обязательно закрывать.
#10 25 июля 2012 в 18:01
В логах нашел хакера.
Залез в папку через fckeditor.
91.225.201.17 (ua, как и сайт, кстати).
Попробую разобраться детальнее, как было дело.
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.