За всё время существования проекта ни разу не видел темы о взломе Joostina.
очень радует и обнадеживает)
Для детального анализа нужны логи, без них можно только руками развести.
Давай по порядку расскажи что и как случилось, начиная с версии системы. Потому как 1.3.0.4 RC5 не существует на сколько мне известно.
версии 1.3.0.4 и один на 1.3.0 RC
5 (давнишний rc, руки обновить не доходили)
утром на всех сайтах светился привет от турецкого факера iSKORPiTX
был заменен или изменен файл index.php к корне сайтов с правами 440 (как?)
сам файл index.php заполучить не удалось, хостер удалил первее), но толку все равно от него мало, что в нем и так понятно примерно.
пароли к фтп были разные, с доступом к конкретному сайту, на один из них после смены пароля даже не заходил, так что этот вариант исключаю полностью.
Все сайты на одном хостинге, так что есть подозрение на взлом хостинга, но кто ж признается в таком. Хостер пока молчит, обещают выслать логи, поглядеть у себя.
В логах хостинга ничего подозрительного нет. Более интересно пишет easysef, но тоже ничего подозрительного...
Отбрутить админку нереально наверное - 20 символов сложноватых, + скрыта
Месяц назад был сломан аналогичным образом один из этих сайтов. Тоже висел турецкий факер, но с другим названием. Тогда в логе атак SEF было указано "Дистанционное включение файла - 1шт", а в логе куча таких записей на это время:
2010-10-25 01:56:24 Page not found (404) 218.22.27.138 138.27.22.218.broad.static.hf.ah.cndata.com Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0 GET /cgi-bin/overmain?args=d29ya3N0YXRpb249ODIuMjA5LjExNi4xNTcmdXJsPWFIUjBjRG92TDNOdlltVnlkbWxsZHk1dmNtY3ZabTl5ZFcwdmFXNWtaWGd1Y0dodyZwcm9maWxlPUlQUl9GSUVMRFRFQ0gmdXNlcj0tJm9sPTAmcmE9MCZhbD0wJnJhdGluZ3M9bnI= http://site.org/cgi-bin/overmain?args=d29ya3N0YXRpb249ODIuMjA5LjExNi4xNTcmdXJsPWFIUjBjRG92TDNOdlltVnlkbWxsZHk1dmNtY3ZabTl5ZFcwdmFXNWtaWGd1Y0dodyZwcm9maWxlPUlQUl9GSUVMRFRFQ0gmdXNlcj0tJm9sPTAmcmE9MCZhbD0wJnJhdGluZ3M9bnI=
2010-10-25 01:56:26 Page not found (404) 111.160.68.30 111.160.68.30 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0 GET /cgi-bin/overmain?args=d29ya3N0YXRpb249ODIuMjA5LjExNi4xNTcmdXJsPWFIUjBjRG92TDNOdlltVnlkbWxsZHk1dmNtY3ZabTl5ZFcwdmFXNWtaWGd1Y0dodyZwcm9maWxlPUlQUl9GSUVMRFRFQ0gmdXNlcj0tJm9sPTAmcmE9MCZhbD0wJnJhdGluZ3M9bnI= http://site.org/cgi-bin/overmain?args=d29ya3N0YXRpb249ODIuMjA5LjExNi4xNTcmdXJsPWFIUjBjRG92TDNOdlltVnlkbWxsZHk1dmNtY3ZabTl5ZFcwdmFXNWtaWGd1Y0dodyZwcm9maWxlPUlQUl9GSUVMRFRFQ0gmdXNlcj0tJm9sPTAmcmE9MCZhbD0wJnJhdGluZ3M9bnI=
понимаю, что это ничего, буду ждать каких-то ответов от хостера, уж очень подозрительно следы заметают
Лучше не дублировать темы. Ту тему закрою и укажу ссылку сюда.
прошу прощения, автопереброска тем порой удивляет))
ПС Поглядел темы по взлому на хакерских форумах, очень огорчило: на заказ от 500$ to 15000$ от сложности, я так понял, невыполнимых задач нет, вопрос денег и времени
25.05.2023, 08:49:57