AndreyTs 5 Опубликовано: 12 октября 2010 Рассказать Опубликовано: 12 октября 2010 http://lavrushka.com Может это ложная тревога, не понимаю что это за файл. Запустил встроенный антивир и он мне выдал синим цветом ./uploads/fotos/shell.php 68.24 Kb 10.09.2010 22:06:58 неизвестен дистрибутиву И в нём куча каких то не понятных мне ссылок. Пару человек мне помогали с сайтом ставить шаблон и соеденяли с форумом, но как понимаю вроде это не должно иметь отношение к этой папке, ложная тревога или нет? Хотел прикрепить файл но как понял здесь это отключено. Цитата Ссылка на сообщение Поделиться на других сайтах
demon165 8 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 код бы выложил сюда,скорей всего файл подтверждает своё имя и с помощью его можно зайти в корень сайта и сделать очень много плохого включая всё уничтожить Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 116 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 shell - он и есть shell... Меняйте пароли к сайту и по FTP, чистите файлы. Форум IPB - нулл? Если да, то мог и оттуда попасть.. Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 Автор код бы выложил сюда,скорей всего файл подтверждает своё имя и с помощью его можно зайти в корень сайта и сделать очень много плохого включая всё уничтожить Увы, пишет что.... Сообщение слишком длинное. Поэтому попробую его сократить, но могу по незнанию вырезать как раз и важное... код бы выложил сюда Сжал файл в Зип shell.php Цитата Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 короче говоря, ворует всё что может и даже больше. Необходимо удалить, или вообще - чистить систему Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 Автор короче говоря, ворует всё что может и даже больше. Необходимо удалить, или вообще - чистить систему Файл удалил, осталось не понятным как он попал именно и что смогли уже сделать или ни чего ещё? Про воруют всё по доступу? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 984 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 AndreyTs, Очень сильно похоже, что на вашем сайте воспользовались уязвимостью в MyPHPAdmin, именно такие шеллы я видел когда заливали их именно через эту уязвимость. Обратитесь к вашему хостинг провайдеру и уточните у него, что была закрыта уязвимсть для MyPHPAdmin у них (недавно была обнаружена сеьезная уязвимость для MyPHPAdmin) также просмотрите логи сервера, кто обращался к этому файлу и по каким адресам еще обращались с этого IP Безусловно это также может быть связано со сторонними модулями и скриптами на сайте Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 Автор Подскажите в каком файле сменить пароль к базе? Цитата Ссылка на сообщение Поделиться на других сайтах
AlcVitRes 2 Опубликовано: 13 октября 2010 Рассказать Опубликовано: 13 октября 2010 http:// www . vashsait.ru/engine/data/dbconfig.php, по дефолту движок на него ставит CHMOD 666. Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 14 октября 2010 Рассказать Опубликовано: 14 октября 2010 Автор AndreyTs, Очень сильно похоже, что на вашем сайте воспользовались уязвимостью в MyPHPAdmin, именно такие шеллы я видел когда заливали их именно через эту уязвимость. Обратитесь к вашему хостинг провайдеру и уточните у него, что была закрыта уязвимсть для MyPHPAdmin у них (недавно была обнаружена сеьезная уязвимость для MyPHPAdmin) также просмотрите логи сервера, кто обращался к этому файлу и по каким адресам еще обращались с этого IP Безусловно это также может быть связано со сторонними модулями и скриптами на сайте Я слишком поспешил с удалением файла. Суппорт уязвимостей с своей стороны не обнаружил. Из-за того что файл сжал в архив ни чего уже не проследить, сказали что нужно было переименовать в phps, в архиве исходные права на файл и владелец потеряны. Дали совет. Так же через .htaccess можно запретить выполнение .php в определённых папках (например, если там лежат только картинки). Как можно и в каких папках установить такой запрет? Логи были за 10 дней, просмотрел все и ни одного обращения за этот период к этому скрипту не было. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 984 Опубликовано: 14 октября 2010 Рассказать Опубликовано: 14 октября 2010 Так же через .htaccess можно запретить выполнение .php в определённых папках (например, если там лежат только картинки). Как можно и в каких папках установить такой запрет? они же вам дали этот совет, вам у них лучше было это спросить. Наверное они имели ввиду размешение в этой папке .htacess c содержымым RemoveHandler .php .php3 .php4 .php5 .php6 AddHandler application/x-httpd-php-source .php .phtml .php3 .php4 .php5 .phps[/code] Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 14 октября 2010 Рассказать Опубликовано: 14 октября 2010 Автор . Наверное они имели ввиду размешение в этой папке .htacess c содержымым RemoveHandler .php .php3 .php4 .php5 .php6 AddHandler application/x-httpd-php-source .php .phtml .php3 .php4 .php5 .phps Правильно ли я понял что такой изменённый .htaccess можно сделать во всех папках где по умолчанию не должно быть файлов .php? Что то этот шелл навёл на меня немного шороху, все пароли менял и по некоторым вещам сделал доступ только по ай пи. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 984 Опубликовано: 14 октября 2010 Рассказать Опубликовано: 14 октября 2010 Правильно ли я понял что такой изменённый .htaccess можно сделать во всех папках где по умолчанию не должно быть файлов .php? да если этот код действительно запрещает запуск PHP файлов, т.к. я не уверен что он работает, т.к. такой код далеко не на всех хостингах работает. Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 15 октября 2010 Рассказать Опубликовано: 15 октября 2010 Автор я не уверен что он работает, т.к. такой код далеко не на всех хостингах работает. Может кому будет интересно, как понял не у одного у меня здесь место на firstvds.ru Суппорт сказал поставить такую строку в .htacess AddType application/x-httpd-php-source .php .php3 .php4 .php5 .phtml Теперь сижу и ломаю голову, на сколько повсюду вставлять код) мест очень много. Не заболеть бы phpфобией) Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 116 Опубликовано: 15 октября 2010 Рассказать Опубликовано: 15 октября 2010 AndreyTs, посмотрите, какая версия у вас phpMyAdmin стоит. По поводу уязвимости celsoft прав. Об этом говорилось и разработчиками phpMyAdmin, а в некоторых панелях управления выдавалось сообщение: На вашем сервере установлена старая версия phpMyAdmin в которой обнаружены серьезные проблемы безопасности. Настоятельно рекомендуем вам его обновить, а так же проверить сервер на возможно появившиеся вирусы Актуальная версия 3.3.7. Цитата Ссылка на сообщение Поделиться на других сайтах
AndreyTs 5 Опубликовано: 15 октября 2010 Рассказать Опубликовано: 15 октября 2010 Автор Актуальная версия 3.3.7. Да, версия была 3.3.1. Обновил, спасибо за подсказки. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.