Найти на сайте
  2. Пользователи
  3. PrimHunter
  4. Форум
P

PrimHunter

+32
Репутация
14
Рейтинг
#1 И еще один взлом версии 1.9 Need help!!! 18 мая 2012 в 01:56 


  1. 69.65.40.100 vseploho.me - - [11/May/2012:10:50:49 +0400] "POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1" 200 42826 "-" "-" 32364 0
Вот еще подозрительная строчка, а вот описание уязвимости hacker-pro.net/thread/38063/p1.html

malanas

Суда по всему эта дырка у хостера прикрыта, по крайней мере вот это 
  1. http://target.com/index.php?-sn
не сработало.
0
#2 И еще один взлом версии 1.9 Need help!!! 18 мая 2012 в 01:47


PrimHunter, а php у вас на сервере как модуль apache? Или fastcgi?

Минона

Похоже apache, хотя не уверен в таких тонкостях. Хостинг sweb.ru
0
#3 И еще один взлом версии 1.9 Need help!!! 18 мая 2012 в 01:45


PrimHunter, нашел через что, но не могу понять как именно, без снимка сайта на момент взлома. осталась где-то копия базы данных сразу после взлома?

если да — то пишите в личку.

picaboo
Да, база осталась. в личке.
0
#4 И еще один взлом версии 1.9 Need help!!! 17 мая 2012 в 16:35


Прикрепите логи сайта, знающие люди посмотрят.

OlegSaf

логи прикрепил.
ориентировочное время начала атаки 16/May/2012:14:45:08, ip предположительно 92.50.167.130 Это что касается второй атаки.
Первая тоже должна быть в логах, около 9 утра (плюс-минус) 12/May/2012
Прикрепленный файл
log_nq84a.rar 183 Кб
0
#5 И еще один взлом версии 1.9 Need help!!! 17 мая 2012 в 15:43
нет, полностью чистая. даже дефолтный шаблон не менял.
0
#1 И еще один взлом версии 1.9 Need help!!! 17 мая 2012 в 15:28
Вот и меня не минула эта участь — взломали.

Предистория: три месяца назад установлена чистая версия 1.9 ( никаких миграций с 1.7-1.8), все работает
Недели три назад появился пользователь с явной попыткой получить хэш пароля админа, эта уязвиомсть описана, вход через соцсети.
После этого закрыл доступ к админке (только с домашнего айпишника), проверил все права на файлы.
В это воскресенье — привет — половины базы нет, оставшаяся часть погрызана, пестрит пользователями null с непотребными комментами.
Так как мало что понимаю в логах и пхп — не смог понять где дырка, вчера восстановил все из бэкапов. Не прошло и трех часов — та же история....

Доступ однозначно не через фтп и не через хостера, т.к. там лежит еще несколько сайтов (на других cms), имея доступ к фтп или к хостингу — поглумились бы над всеми.

Ну так вот, о великое сообщество!!! Есть ведь тут разбирающиеся в безопасности. Могу дать все — собственно файло, поломаную базу, неполоманую базу, логи awstats. Прошу — найдите дырку… Сайт уже неделю почти не работает. И восстанавливать из бэкапов в текущей ситуации бессмысленно — опять поломают.
0

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.