0 / 0 / 0
Регистрация: 02.11.2012
Сообщений: 11
|
||||||||||||||||
1 | ||||||||||||||||
Взламывают сайт01.12.2012, 01:30. Показов 2630. Ответов 11
Метки нет (Все метки)
Здравствуйте.
Недавно зашёл на свой сайт и обнаружил, что вместо содержимого отображается пустой экран. Исходный код всех страниц вычищен под нуль. Однако админка сайта функционирует, бд и фтп вроде не тронуты. Нашёл только в файле .htaccess какой то левый кусок кода, который я не помещал в него:
Нашёл в кэш файлах админки левый файл rus_dlg.php, который был создан именно в тот момент когда меня в сети не было несколько дней. Файл левый потому что: 1) раньше его не было. 2) в под домене лежит точная, функционирующая копия основного сайта, так сказать для теста различных плюшек, так в ней такого файла нет. Привёл часть кода из файла, т.к. в теле слишком много набора букв. Сам файл также прикрепил.
**UPD снова левая часть кода в .htacces уже после второго взлома. Также нашёл новый левый файл, идентичный rus_dlg.php, только называется table_insert.php.
0
|
01.12.2012, 01:30 | |
Ответы с готовыми решениями:
11
Как проверить сайт на нагрузку? Через какой сервис? (Сколько человек выдержит мой сайт) Постоянно взламывают почту С какой целью взламывают сайты взламывают пароли в соц. сетях |
637 / 415 / 27
Регистрация: 03.11.2009
Сообщений: 1,855
|
|
01.12.2012, 01:56 | 2 |
php код вроде зашифрованный шелл
в .htacces вроде перенаправление ищите ошибки в коде похоже у вас где то xss или sql инъекция
1
|
0 / 0 / 0
Регистрация: 02.11.2012
Сообщений: 11
|
|
01.12.2012, 02:19 [ТС] | 3 |
t1m0n
Вы не могли бы пояснить что выполняют эти шеллы? И что вы имеете ввиду под ошибками в коде, что именно искать?
0
|
637 / 415 / 27
Регистрация: 03.11.2009
Сообщений: 1,855
|
|
01.12.2012, 02:38 | 4 |
шелл это грубо говоря урезаная админка с помощью нее можно добавлять файлы, изменять, редактировать базу
кстати проверьте вашу базу может там появились другие пользователи с правами администратора ошибки в коде, допустим, где заливка файлов, пользователь может залить пхп файл или другой файл и выполнить из каких то форм данные не фильтруются для запросов к базе данных лучше наймите специалиста дыра на сайте осталась скорее всего и каждый раз когда вы будете восстанавливать из бекапа все равно будут ломать
2
|
Почетный модератор
16844 / 6723 / 880
Регистрация: 12.06.2012
Сообщений: 19,967
|
||||||
01.12.2012, 10:29 | 5 | |||||
это то, что в Php-коде (с кодировкой лень возиться)
2
|
0 / 0 / 0
Регистрация: 02.11.2012
Сообщений: 11
|
|
01.12.2012, 11:20 [ТС] | 6 |
я понял что эта часть кода ищет разделители, слеши и удаляет их, так? зачем, что это даёт?
0
|
6 / 6 / 1
Регистрация: 25.07.2011
Сообщений: 68
|
|
20.12.2012, 15:42 | 7 |
Ты не понял
Функция дешифрует зашифрованный текст, и исполняет его Это сделано для того чтоб сжать и скрыть от посторонних глаз эту программу. Я бы на твоем месте либо прогрепал весь контент на наличие текста, либо посмотрел даты изменения своих файлов. Кстати в целях секьюрности, не лишним будет написать скриптец, который сканирует твои файлы на изменения, и кукарекает тебе на почту, если что-то изменилось
1
|
0 / 0 / 0
Регистрация: 02.11.2012
Сообщений: 11
|
|
20.12.2012, 23:52 [ТС] | 8 |
ntfs1984
Спасибо. Теперь понятно. С проблемой уже вроде как разобрались, да и текст также находил. Оказалось что хакер ломал ssh и через него уже творил всякие чудеса. Ssh закрывали, перепароливали, но он как то снова открывал его. После пары махинаций с доступами и паролями, уже как продолжительное время всё в порядке. А взламывали сайт через аккаунт моего коллеги. За идею - спасибо, можно будет сварганить на досуге.
0
|
6 / 6 / 1
Регистрация: 25.07.2011
Сообщений: 68
|
|
21.12.2012, 00:17 | 9 |
Да кстати про ssh.
Особо упоротые параноики советуют перевешивать его на другой порт, а лично я на своем сервере настроил прием подключений только с одного хоста, промежуточного, а уже туда подключаюсь с любого другого места. В любом случае очень важно (если конечно инфа важная) сделать адекватную систему мониторинга и алертов, которая следит за подключениями, серверами, файлами, и так далее.
1
|
0 / 0 / 0
Регистрация: 02.11.2012
Сообщений: 11
|
|
21.12.2012, 00:52 [ТС] | 10 |
Спасибо за совет, надо будет озадачиться вопросом реализации на этих выходных.
0
|
6 / 6 / 1
Регистрация: 25.07.2011
Сообщений: 68
|
|
31.12.2012, 01:38 | 11 |
Кстати нашел сцылко по теме:
http://userglobus.com/cm50_thread_50e0b3aa566c0 Там описан скрипт для этих действий.
1
|
27 / 24 / 2
Регистрация: 25.12.2012
Сообщений: 127
|
|
31.12.2012, 11:39 | 12 |
То что в eval это закодированный PHP код. Если интересно что в нём - декодером можно раскодировать и посмотреть.
Скорее всего вам залили шел. Для его поиска ищите файлы которые появились не давно. + можно воспользоваться скриптом для поиска шелов - http://revisium.com/ai/ Но удаление шелла проблемы не решит. Ищите уязвимость. Скорее всего она в каком-то из плагинов.
1
|
31.12.2012, 11:39 | |
31.12.2012, 11:39 | |
Помогаю со студенческими работами здесь
12
При попытка зайти на любой сайт антишпионом перехватывается сайт partner-pop.men. Как убрать этот сайт? Сайт после 5 секунд заходит на другой сайт (взломали сайт) При заходе в интернет и клике на любой сайт перекидывает редиректом на др.сайт При запуске google открывается сайт nftds2.ru и перенаправляет на сайт с рекламой Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |