хакнули вяло

Тема в разделе "Вопросы безопасности", создана пользователем chilly_bang, 22.08.2007.

  1. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    приветствую

    обнаружил, что страничку одну хакнули месяц назад (1.0.12). во все файлы index.html повставляли iframe с дурнёй какой-то и подписались как мировые мусульманские хацкеры. админка была запаролена - туда ничего не вписали и конфиг не поменяли. смотрел логи - пытались попасть через perForms и com_events - везде получали 403. не заметил бы никогда - заглянул случайно. хацка удалась из-за неверного распределения прав: в глобальной конфигурации у меня стоит, что chmod делать надо, НО не применяя к старым файлам. и, видно, что некоторые расширения ставятся с неверными правами.

    слил все файлы - искал, куда ещё чо засунули - ничего не нашёл. также искал по БД - тоже ничего подозрительного. настроил в админке применение chmod к старым файлам также - и применил. страница работает, как должно.

    вопрос: учитывая, что всё, что нашёл - вычистил и поломок нету, стоит ли переинсталлировать всё и почему? лень-матушка заела - чем это чревато?
     
  2.  
  3. Offline

    xarakiry Недавно здесь

    Регистрация:
    07.08.2007
    Сообщения:
    34
    Симпатии:
    0
    Ответ: хакнули вяло

    В один из моих сайтов тоже ввели небольшую иньекцию пхп кода.... кстати тоже как и у вас по не внимательности и из-за лени... а код этот был вирусным... короче запороли мне сайтик... теперь я постоянно слежу за обновлениями и стараюсь не нарушать правила безопасности....кстати как я понял у вас версия 1,0,12 ...обновите на более новую....вышли русифицированные патчи......кстати..а что за код был можно взглянуть то ..?
     
  4. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: хакнули вяло

    Код (html):
    1. <HTML><HEAD><TITLE>HacKed By Beyaz-Yarasa</TITLE>
    2. <META http-equiv=Content-Type content="text/html; charset=utf-8">
    3. <META content="HACKER, HACKED by Beyaz-Yarasa name=distribution>
    4. <META http-equiv=expires content="THE WORLD MusLim HACKERS">
    5. <META http-equiv=pragma content=no-cache><!--
    6. <META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
    7. <BODY bgColor=#000000>
    8. <div align="center"><font face="Arial" size="5" color="#C0C0C0">THE WORLD MusLim HACKERS </font></div>
    9. <div align="center">&nbsp;</div>
    10. <div align="center"><object width="500" height="450"><param name="movie" value="http://www.youtube.com/v/sDm0ovdHyHc"></param><param name="wmode" value="transparent"></param><embed src="http://vatansevenler.net/yarasa.swf" type="application/x-shockwave-flash" wmode="transparent" width="800" height="600"></embed></object>
    11. width=300><FONT style="FONT-SIZE: 1pt" face=Wingdings
    12. color=#ffffff><BR></FONT><B><FONT face=Tahoma color=#483D8B size=6>          Beyaz.Yarasa@Hackermail.com</FONT><FONT face="Arial Narrow" color=#002d00 size=2><BR></FONT></B><FONT
    13. face="Arial Narrow" color=#005300><SPAN
    14. lang=tr> </SPAN> <BR></FONT><FONT
    15.  
    16. <CENTER><EMBED src=http://www.smlacdst.org/images/The.mp3 width=0 height=0
    17. type=audio/x-wav>
    18. <P align=center>&nbsp;</P></CENTER></BODY></HTML><html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
    мне ничего не запороли (сайт как работал, так и работает). спасло, думается, то, что админка была под паролем. версия 1.0.12 немецкая уникодированная, причём немцы искренне не рекомендуют обновлять. я ещё не до конца разобрался с обновлением - что там есть да зачем, но обновлять буду (ставлю мост для vbulletin- он требует 1.0.13).
     
  5. Offline

    xarakiry Недавно здесь

    Регистрация:
    07.08.2007
    Сообщения:
    34
    Симпатии:
    0
    Ответ: хакнули вяло

    Это турки )))) гыгыгы.....музыку послушал..? Крёстный отец ))) Мне кажется они просто вживили этот код просто как тест...могут они это сделать...или нет....или же же просто для повышения ТИЦ сайта своего..))) у тя это ништяк...у меня был вирус и сидел он в файле конфигурации ))) а другой сайт неоднократно подвергается атакам турецких хакером....после долгих шныряний по логам атак...мне удалось даже выяснить эмеил одного из таких засранцев... это турки...
     
  6. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: хакнули вяло

    я пробил: для тица маловато результатов, по пальцам пересчитать можно. думаю, вставили от беспомощности: ломились через известные дыры - а дули с маком.
     
  7. Offline

    -=Luc!fer=- Недавно здесь

    Регистрация:
    24.09.2007
    Сообщения:
    5
    Симпатии:
    0
    Пол:
    Мужской
    Ответ: хакнули вяло

    Теже проблемы. Во всех index на хосте вредоносный код. Гугл забанил сайт, пользователи не могут войти.

    Что с этим делать? Как лечить. Пока что временно решил проблемму, на index поставил 444, но теперь оказалось что и крипты с другими именми поржены, что делать. Здолбалось каждую неделю перезаливать сайт.
     
  8. Offline

    Foxy Недавно здесь

    Регистрация:
    09.05.2007
    Сообщения:
    3
    Симпатии:
    0
    Ответ: хакнули вяло

    тоже такое было. может, это совпадние, но после переезда на другой хостинг прошло. права на всех перезаписанных индексах стояли 644, конфа была вынесена за пределы корня сайта, админка закрыта, глобалс отключены. тем не менее каждые 4-5 дней около 3-5 утра код появлялся на сайте. я это обнаруживала через несколько часов и чистила - до следующего раза.

    вот и думаю: мог ли сидеть на машине хостера резидент, учитыая что встроенный в cpanel антивирус код не обнаруживал, и попась извне было алореально?

    компонентов у меня установлено крайне мало, практически только стандартная сборка джумлы и 1 самописный, который ничего никуда ни вводить, ни отсылать не умеет.
     

Поделиться этой страницей

Загрузка...