Как вернуть сайт?

Тема в разделе "Вопросы безопасности", создана пользователем kukuwka, 06.12.2008.

  1. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    Мой сайт взломали. Можно ли как-то вернуть его? Все файлы на сервере вроде на месте и т.д. Где-то читала, что возможно надо убрать какую-то строку в каком-то фале. Взываю к вашей помощи. Только пожалуйста не отправляйте меня к факу. Срочно надо решить проблему.
     
  2.  
  3. doctorgrif
    Offline

    doctorgrif специалист

    Регистрация:
    14.01.2008
    Сообщения:
    1 284
    Симпатии:
    66
    Пол:
    Мужской
    открой фтп сайта и посмотри файлы по датам изменения - измененные в районе предположительной даты взлома открой и посмотри - найдешь левое - удаляй
     
  4. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    doctorgrif, а как посмотреть файлы по датам изменения? Я использую FileZilla.
     
  5. doctorgrif
    Offline

    doctorgrif специалист

    Регистрация:
    14.01.2008
    Сообщения:
    1 284
    Симпатии:
    66
    Пол:
    Мужской
    под окошком "удаленный хост"
    колонка "Последнее изменение"
    для блондинок:) (без обид, но чтоб подробнее) 4-я слева (считаем с "Имя файла") или 3-я справа (считаем с "Владелец/Группа")
     
  6. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    doctorgrif, большое спасибо :)
     
  7. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    всё еще не нашла причину. По датам посмотрела, все как-бы с ними нормально вроде. Нигде нет изменений в предположтельную дату взлома. Вот когда я на свой сайт захожу меня перекидывает на эту страницу http://site.mynet.com/hacked.leon - мол хакнуто. Полагаю, что надо в файлах где-то поискать вот эту строку. Только вот где именно искать......без понятия
     
  8. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    У меня вообще в последнее время не раз таким способом взламывали сайт. Пытаюсь защитить как-то, не получается. И как вернуть сайт не знаю, хотя база и файлы всё на месте стоит. Приходилось заново устанавливать сайт, благо базу и т.д. сохраняю.
     
  9. -=phenix=-
    Offline

    -=phenix=- Недавно здесь

    Регистрация:
    01.09.2008
    Сообщения:
    64
    Симпатии:
    2
    Пол:
    Мужской
    А линк на твой сайт можно глянуть?
    А вернуть - нужно перелопатить весь код - посмотреть даты изменения.... Проще сделать снимок инфы (ну базы данных) - потом по чистому поставить Джумлу - и потом вернуть снимок
     
  10. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0

    воть http://www.33land.lv =]
     
  11. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 751
    Симпатии:
    113
    Пол:
    Мужской
    Not Found

    The requested URL / was not found on this server.

    А в чем собственно заключается взлом? Опишите симптомы.
     
  12. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    http://www.google.ru/search?q=33land.lv&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox-a
    тут видим оф кеш
    и страницу хакера зачемто пачкающего своими дияниями ислам (падонак!)
    http://turk-h.org/defacement/view/311395/33land.lv/

    http://64.233.183.132/search?q=cache:0SqC5KDPaT4J:33land.lv/+33land.lv&hl=ru&ct=clnk&cd=1&gl=ru&client=firefox-a
    тут мы видим что joomla 1,5 ветки.....

    из нестандартных расширений
    видим только галерею и гостевую книгу
    такчто искать нужно впервую очередь в папках
    com_easygb
    com_phocagallery


    ну и от хаккера
    Attack Technics : Domain Hack
    Attack Reason : Gövde Gösterisi

    то что описанно в причине атаки я так и не понял
    явно не славянин
     
  13. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    хм, интересно. спасибо за инфу! буду копать. [!]

    Добавлено через 4 минуты

    регуест - это тк я имя папки для сайта изменила на время, что бы люди не заходили на страницу хакера ))

    по поводу взлома - все папки лежат на хостинге в целости, база тоже никуда не пропала, но при заходе на мой сайт, сразу идет перенаправление на страницу хакера..мол взломано. вот.. И я без понятия как они вообще пробрались к моему сайту, и как в дальнейшем его защитить.
     
    Последнее редактирование: 11.12.2008
  14. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    это дифейс мадама
    через
    com_easygb
    com_phocagallery
    он может и проник
    а вот изменил скорее всего index.php
    или конфиг файл

    если index.php был доступен группе apache или просто был доступен 775
    то ищите там
    иначе скорее всего конфиг
    ибо многие забывают сделать его недоступным для записи
    ну и накрайняк если там жесткое перенаправление ройте .htaccess

    после нахождения изменённого файла
    фильтруй логи на предмет его изменения
    на предпологаемую дату
    если через php system($cmd) то запросы get

    ну и самое страшное сплоит ветки 1,5 :)
     
  15. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    перекопала все. опять ничего =Р слушайте дорогие, может ктото из вас мог бы залезть на мой фтп и посмотреть что там за еундовина? м?
     
  16. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    Нутк, никто не мог бы мне помочь? Я бы дала пасс и логин и вы бы разобрались там. Очень прошу вас.
     
  17. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    скинь index.php встудию
    и ещё
    globals.php
    configuration.php
    includes/joomla.php
    /includes/frontend.php
    /templates/'. $cur_template .'/index.php (ваш шаблон)
    и .htacsess
    всё зипаннное
     
    Последнее редактирование: 24.12.2008
  18. Offline

    kukuwka Недавно здесь

    Регистрация:
    09.03.2008
    Сообщения:
    24
    Симпатии:
    0
    вот :)

    хм..а вот этого у меня вообще нет

    globals.php
    /includes/frontend.php
     

    Вложения:

    • files.rar
      Размер файла:
      3.3 КБ
      Просмотров:
      6
  19. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    1 файлы неполные
    незакрытые ?> php скобки
    2 файл шаблона смотрите внимательно 1 строка:
    <meta http-equiv="Refresh" content="0;url=http://site.mynet.com/hacked.leon/"> сайт хацкера
     
  20. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    если база данных целая то рекомендую
    заменить все файлы кроме расширений (невходящих в инсталпакет) тоесть гостевую книгу итп
    восстановить файл шаблона из инстала шаблона который использовался ранеее на вашем сайте
    запустить сайт
    далее скачать все логи
    отфильтровать все записи касающиеся компонентов невходящих в инсталпакет joomla
    особенно если в запросах проскакивают строки которые явно используют команды замены файлов wget и прочие системные команды линукс
    и которые в качестве директории использовали директорию шаблона
    там же вы увидете через ккакой бажный файл производились команды system

    явное указание на то что в какомто скрипте есть дырка и иммено из него хаккер наносил урон это права и принадлежность группе апач

    это всё при условии что вы сильно не ковыряли движок
     
  21. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    infoman, Девушка явно попросит все это сделать тебя, ибо не уверен я, что в силах она все это сделать сама :)
     

Поделиться этой страницей

Загрузка...