X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Взломали...
bazatrust
bazatrust
Topic Starter сообщение 29.5.2013, 12:48; Ответить: bazatrust
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 677
Регистрация: 3.3.2012
Из: Ибицы
Поблагодарили: 171 раз
Репутация:   24  


Добрый день!
Столкнулся с одной проблемой, прошу помощи.
Где-то с неделю назад обнаружил у себя на хостинге файл такого типа:
Прикрепленный файл  w32914449n_1_.php ( 21,04 килобайт ) Кол-во скачиваний: 62

разумеется посмотрев его содержимое, я его удалил, также удалил дубликаты, какие смог найти.
Сегодня ситуация повторилась, решил посмотреть в браузере и вот, что я увидел:
http://files.pr-cy.ru/79734_5d39767846fa10...724f4b10f1/.png

Что это такое и с чем его едят? Как можно устранить эту уязвимость? Возможно это уязвимость хостинга?
Спасибо за внимание!

П.С. Недавно обращался к одному человеку за помощью, нужно было допилить шаблон, так вот: вместо доступа по фтп, он воспользовался одним хаком, загрузил его в корень сайта и с помощью этого файла обошелся без всякого доступа...

Сообщение отредактировал bazatrust - 29.5.2013, 12:53


--------------------
> Провожу анализ внешней оптимизации конкурентов.

> - Узнай секреты и стань первым!
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
adkot
adkot
сообщение 29.5.2013, 13:02; Ответить: adkot
Сообщение #2


Бывалый
****

Группа: User
Сообщений: 418
Регистрация: 6.12.2009
Из: Волгоградская область
Поблагодарили: 129 раз
Репутация:   17  


Было такое. Сколько раз чистил - все равно остается. Этот файл может быть в каждой директории. Я сделал так: купил новый хостинг, залил туда только что скаченный с офф. сайта движок. Со старого хостинга перенес только БД и картинки. Папки перемещать крайне не желательно, так как там может быть файл этот. Даже в нормальном файле .php может быть вредоносный код. И если хоть один фрагмент кода попадет на новый хостинг, начнется все сначала.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
devuser
devuser
сообщение 29.5.2013, 13:20; Ответить: devuser
Сообщение #3


Все будет тип-топ
*****

Группа: Active User
Сообщений: 713
Регистрация: 5.12.2012
Из: Online
Поблагодарили: 342 раза
Репутация:   52  


http://www.revisium.com/ai/

Пробегитесь этим скриптом, реально полезная вещь.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
bazatrust
bazatrust
Topic Starter сообщение 29.5.2013, 13:56; Ответить: bazatrust
Сообщение #4


Завсегдатай
*****

Группа: Active User
Сообщений: 677
Регистрация: 3.3.2012
Из: Ибицы
Поблагодарили: 171 раз
Репутация:   24  


(devuser @ 29.5.2013, 13:20) *
реально полезная вещь.

Спасибо, сейчас непременно попробую.


--------------------
> Провожу анализ внешней оптимизации конкурентов.

> - Узнай секреты и стань первым!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
adkot
adkot
сообщение 29.5.2013, 14:18; Ответить: adkot
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 418
Регистрация: 6.12.2009
Из: Волгоградская область
Поблагодарили: 129 раз
Репутация:   17  


(devuser @ 29.5.2013, 13:20) *
http://www.revisium.com/ai/

Пробегитесь этим скриптом, реально полезная вещь.

Не помогает AI Bolit.

Вот тема я спрашивал про этот вирус.

И еще, когда я начал с ним бороться, все мои сайты были удалены. Поэтому сначала сделайте бекап файлов и БД.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
install
install
сообщение 29.5.2013, 14:22; Ответить: install
Сообщение #6


Яндекс ЛОХ
*******


Группа: Active User
Сообщений: 3530
Регистрация: 28.5.2009
Из: Нижневартовска
Поблагодарили: 1376 раз
Репутация:   201  


(bazatrust @ 29.5.2013, 14:48) *
воспользовался одним хаком

так нужно было у этого товарища спросить, как эту дырку залатать.
Может через нее и пихают код.

А лучше посмотрите логи, там видно в каких файлах были сделаны изменения, от куда и с какого IP заходили.

Если сайты в одной директории, разнисите их по разным, может в одном дырка, через него и в другие зашивают.

FTP доступы нафиг позакрывайте, поставьте права 444 и тд.

А сайт на DLE?

Сообщение отредактировал install - 29.5.2013, 14:26


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
santis
santis
сообщение 29.5.2013, 14:34; Ответить: santis
Сообщение #7


Топовый постер
*******


Группа: Active User
Сообщений: 3487
Регистрация: 29.11.2010
Из: Краснодар
Поблагодарили: 1510 раз
Репутация:   164  


Меняй пароли, доступы меняй, ставь по новой все плагины, обновляй CMS либо просто заменяй все файлы на новые.
только так ты избавишься от него.
Только сначало поменяй файлы наверное, а потом уже пароли, на случай если они отправляются кому то при их смене


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
bazatrust
bazatrust
Topic Starter сообщение 29.5.2013, 17:05; Ответить: bazatrust
Сообщение #8


Завсегдатай
*****

Группа: Active User
Сообщений: 677
Регистрация: 3.3.2012
Из: Ибицы
Поблагодарили: 171 раз
Репутация:   24  


install, нет, сайты все на Джумле.

Спасибо всем за помощь


--------------------
> Провожу анализ внешней оптимизации конкурентов.

> - Узнай секреты и стань первым!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
obmen
obmen
сообщение 29.5.2013, 17:37; Ответить: obmen
Сообщение #9


Участник
***


Группа: User
Сообщений: 124
Регистрация: 24.5.2013
Из: Киев
Поблагодарили: 15 раз
Репутация:   5  


(bazatrust @ 29.5.2013, 15:05) *
install, нет, сайты все на Джумле.

Спасибо всем за помощь


это очень и очень дырявая цмс - хуже быть не может - огромное кол-во паблик сплоитов которые тупо делают комбаины, сгружают тонны урлов джумлы и софт автоматом заливает шелы

что рекомендую сделать - это максимально поможет, но вообще лучше менять цмс

1. обновить до последней верси
2. поменять все пассы и сделать их сложными
3. поменять права на файлах и директориях
4. ограничить доступ по ip к фтп

ну и вообще быть предельно осторожным, потому что в лучшем случае твой сайт используют для ссылок, а в худшем повесят сплоит и поймаешь ты троя которого никакой антивирь палить не будет и прощай все пароли


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
igor353
igor353
сообщение 29.5.2013, 23:26; Ответить: igor353
Сообщение #10


Новичок
*

Группа: User
Сообщений: 15
Регистрация: 29.5.2013
Поблагодарили: 5 раз
Репутация:   1  


devuser,
(adkot @ 29.5.2013, 14:18) *
Не помогает AI Bolit.

Вот тема я спрашивал про этот вирус.

И еще, когда я начал с ним бороться, все мои сайты были удалены. Поэтому сначала сделайте бекап файлов и БД.

Добрый вечер всем.
Почитал топик решыл проверить свои сайты етим сервисом AI Bolit . Нашол он шелы на 2 сайтах на одном 4 шела на другом 5.
Решыл проверить по дпугом скачал демо версию dle 9.7 и установил на другой хост запустил скрипт 49 шелов куча уязвимости.
Почитал отзывы вродебы многим помагает. Что я нетак делаю или в чем проблема?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Disqus залатала дыру, через которые взломали аккаунты в 2012
1 jack 485 9.10.2017, 21:44
автор: harold_may


 



RSS Текстовая версия Сейчас: 11.12.2017, 19:13
Дизайн