Перейти к публикации

Взлом админского пароля


Рекомендованные сообщения

Приветствую всех!

В общем ситуация примерно такая:

на сайт в index.php постоянно суют скрипт на троянчик. Первоначально думал, что угоняют пароль от ftp и автоматом рассылают, то версия неподтвердилась... далее заметил, что все же заходят под админом и через саму админку заражают шаблон. Через ftp убрал права 666 на файлы и заменил на 644, чтоб через админку не было возможности редактировать шаблон.

Но сегодня с утра смотрю, добавили тупо зараженный шаблон и сделали его по умолчанию...

В общем есть лог что делает этот человек или робот:

81.222.236.56 - - [03/Jan/2010:10:21:33 +0300] "GET / HTTP/1.1" 200 435 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "GET / HTTP/1.1" 200 49814 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "GET /index.php?do=lostpassword&douser=1&lostid= HTTP/1.1" 200 19841 "-" "-"

81.222.236.56 - - [03/Jan/2010:10:21:42 +0300] "POST /admin.php?mod=templates HTTP/1.1" 404 19628 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST / HTTP/1.1" 200 54086 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates HTTP/1.1" 302 207410 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates HTTP/1.1" 200 22514 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "GET / HTTP/1.1" 200 49769 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:43 +0300] "POST /denis.php?mod=templates&subaction=new&action=templates&user_hash=e1962cf40114717176bf875a9c330673 HTTP/1.1" 200 12786 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=options&action=syscon HTTP/1.1" 200 12757 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "GET / HTTP/1.1" 200 49789 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "GET /index.php?do=lostpassword&douser=1&lostid= HTTP/1.1" 200 19804 "-" "-"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /admin.php?mod=templates HTTP/1.1" 404 19592 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST / HTTP/1.1" 200 54070 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=templates HTTP/1.1" 302 207448 "http://remontcdma.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:44 +0300] "POST /denis.php?mod=templates HTTP/1.1" 200 12801 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:21:45 +0300] "GET / HTTP/1.1" 200 49877 "http://remontcdma.ru/denis.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:42:31 +0300] "GET / HTTP/1.1" 200 435 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

81.222.236.56 - - [03/Jan/2010:10:42:38 +0300] "GET / HTTP/1.1" 200 49877 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

Если так посмотреть, то он делает запрос на восстановление пароля и потом удачно заходит в админку...

И все это за секунду, т.е. если б это делал человек, который украл доступ к почте,то это было бы все чуть дольше...

Подскажите в чем вообще тут дело и как защититься от этого?

Ссылка на сообщение
Поделиться на других сайтах

Обновите лучше до 8.3 и видели ли вы эту новость http://dle-news.ru/bags/v82/789-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

Можно еще удалить пхп файл восстановления пароля :rolleyes:

Изменено пользователем llbarmenll
Ссылка на сообщение
Поделиться на других сайтах

llbarmenll, спс за подсказку, сейчас патч поставил. Далее посмотрим что будет, но судя по логам думаю проблема как раз в этом

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...