Joomla 1.5.21 Заметил случайно в папке /plugins/content/ директорию js Там оказался полноценный сателлит с гороскопами. Как выявить дыру? Логи прилагаются
Это в папке что залили мне на сайт knopa1.js, knopa2.js, knopa3.js Код (PHP): document.write("<div align=\"center\"style=\"border: 0px;margin-bottom: 2000px;\"><a href=\"http://bit.ly/aqT2hb\"rel=\"nofollow\"><img border=\"0\"src=\"1.jpg\"></a></div>");
откуда они? нужно смотреть полностью логи, анализировать откуда залито... на форуме можно долго писать
Я так понимаю залито запросом "GET /plugins/content/js/unzip.php HTTP/1.0" Полные логи выложить начиная с 19 октября?
скорее всего залито раньше - возможно по фтп, чтоб сделать разбор полетов нужны и логи и доступ к фтп, и возможно, логи фтп. PS А как с вирусами на компе?
Вирусов нет, зато есть подозрения на хостера. Логи есть с 30 сентября (200 мб), в ftp логах только мои 2 IP начиная с 16 декабря. Сколько будут стоить ваши услуги?
600 руб\час, скорее всего при наличии всех доступов хватит и получаса (если есть ssh - просто отлично)
Это один из частых каналов утечки пароля - передается в открытом виде, только ставь сниффер на соседнем компе. Логи доступа могли (и должны были бы обязательно) скорректировать, или они отдельно у хостера живут?
Сниффер - это для меня сложно. Извиняюсь за невежество что это? Логи в отдельных директориях хостера находятся.
Сниффер (англ. sniffer, дословно "нюхач" : ) — хакерская примочка, которая переводит сетевую карту компа в особый режим, в котором она начинает принимать не только сетевые пакеты, адресованные именно ей, а все, что проходит мимо нее в ветке сети - в т.ч. траффик соседних компьютеров. Если несколько компов воткнуты в один дешевый хаб (а не свитч, который фильтрует трафик), то сниффер на любом из них может "слушать" всю сетевую коммуникацию соседей. Можно поставить на него фильтр, который будет вылавливать, например, только пакеты протоколов FTP и SMTP и вылавливать в них пароли. На деле это выглядит так: ставится примочка, или ловится вирус, который слушает сеть, и как только вылавивает очередной пароль - шлет его "хозяину". Так в вашем случае логи ftp точно никто не мог изменить? Вы не можете зайти по фтп в папку с логами и стереть скажем, один из них?
Значит, версию об утечке FTP пароля пока отложим в сторону : ) Только успокойте: с "ваших двух IP" более ни один комп в сеть не выходит? Из того же офиса, из того же дома. Ведь офис и дом - как раз такие сегменты, внутри которых возможно прослушивание. Хорошо ли вы знаете ваших соседей?!
