VIPadmin 0 Опубликовано: 3 января 2010 Рассказать Опубликовано: 3 января 2010 Приветствую всех! В общем ситуация примерно такая: на сайт в index.php постоянно суют скрипт на троянчик. Первоначально думал, что угоняют пароль от ftp и автоматом рассылают, то версия неподтвердилась... далее заметил, что все же заходят под админом и через саму админку заражают шаблон. Через ftp убрал права 666 на файлы и заменил на 644, чтоб через админку не было возможности редактировать шаблон. Но сегодня с утра смотрю, добавили тупо зараженный шаблон и сделали его по умолчанию... В общем есть лог что делает этот человек или робот: 81.222.236.56 - - [03/Jan/2010:10:21:33 +0300] "GET / HTTP/1.1" 200 435 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "GET / HTTP/1.1" 200 49814 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "GET /index.php?do=lostpassword&douser=1&lostid= HTTP/1.1" 200 19841 "-" "-" 81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "POST /admin.php?mod=templates HTTP/1.1" 404 19628 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST / HTTP/1.1" 200 54086 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates HTTP/1.1" 302 207410 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates HTTP/1.1" 200 22514 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "GET / HTTP/1.1" 200 49769 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates&subaction=new&action=templates&user_hash=e1962cf40114717176bf875a9c330673 HTTP/1.1" 200 12786 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=options&action=syscon HTTP/1.1" 200 12757 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "GET / HTTP/1.1" 200 49789 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "GET /index.php?do=lostpassword&douser=1&lostid= HTTP/1.1" 200 19804 "-" "-" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /admin.php?mod=templates HTTP/1.1" 404 19592 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST / HTTP/1.1" 200 54070 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=templates HTTP/1.1" 302 207448 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=templates HTTP/1.1" 200 12801 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:21:45 +0300] "GET / HTTP/1.1" 200 49877 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:42:31 +0300] "GET / HTTP/1.1" 200 435 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" 81.222.236.56 - - [03/Jan/2010:10:42:38 +0300] "GET / HTTP/1.1" 200 49877 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4" Если так посмотреть, то он делает запрос на восстановление пароля и потом удачно заходит в админку... И все это за секунду, т.е. если б это делал человек, который украл доступ к почте,то это было бы все чуть дольше... Подскажите в чем вообще тут дело и как защититься от этого? Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 3 января 2010 Рассказать Опубликовано: 3 января 2010 (изменено) Обновите лучше до 8.3 и видели ли вы эту новость http://dle-news.ru/bags/v82/789-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html Можно еще удалить пхп файл восстановления пароля Изменено 3 января 2010 пользователем llbarmenll Цитата Ссылка на сообщение Поделиться на других сайтах
VIPadmin 0 Опубликовано: 3 января 2010 Рассказать Опубликовано: 3 января 2010 Автор llbarmenll, спс за подсказку, сейчас патч поставил. Далее посмотрим что будет, но судя по логам думаю проблема как раз в этом Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.