Выкладываю свой лог. Предыстория такова. Постучался в аську и предложил проверить на наличие уязвимости позволяющей получить доступ к сайту. И если имеется в качестве подтверждения залить картинку. Потом в обмен на вознаграждение указать что именно и как исправить. Согласился. Минут через 5 он скидывает адрес картинки, в созданной папке images/stories/
Смотрю логи:
Line 276987:
www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:48 +0400] "GET /favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 276988:
www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:52 +0400] "GET / HTTP/1.0" 200 10610 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 276989:
www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:54 +0400] "GET /templates/a421/favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 276990: site.ru 95.129.166.242 - - [27/Mar/2012:17:41:01 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 276991:
www.site.ru 95.129.166.242 - - [27/Mar/2012:17:41:02 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 200 24557 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 276992:
www.site.ru 95.129.166.242 - - [27/Mar/2012:17:41:21 +0400] "GET /stranica_sayta HTTP/1.0" 200 8689 "
http://www.site.ru/" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
первый вход и проверка как видим была за несколько дней до этого. вполне возможно что бот сканировал
а вот уже сегодня вход
Line 278424:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:27 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 200 24557 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278425:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:28 +0400] "GET /favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278426:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:30 +0400] "GET / HTTP/1.0" 200 10737 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278427:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:31 +0400] "GET /templates/a421/favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278445: site.ru 95.129.166.242 - - [30/Mar/2012:14:29:36 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=154&format=raw HTTP/1.0" 200 36 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
Line 278446: site.ru 95.129.166.242 - - [30/Mar/2012:14:29:44 +0400] "GET / HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278447:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:29:45 +0400] "GET / HTTP/1.0" 200 10737 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278461:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:30:37 +0400] "GET /images/stories/test HTTP/1.0" 301 253 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278462:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:30:37 +0400] "GET /images/stories/test/ HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278464: site.ru 95.129.166.242 - - [30/Mar/2012:14:32:02 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&b8b1de7a7fcf69abf9ae57ef1d0817f4=e8503fedf0422c29e7a246ccb932897d HTTP/1.0" 200 69 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
Line 278465:
www.site.ru 95.129.166.242 - - [30/Mar/2012:14:32:08 +0400] "GET /images/stories/test/30.03.2012.jpg HTTP/1.0" 404 232 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
видно что идет через com_jce удаляю этот компонент и плагины его. написал, что сам нашел и удалил. Тем не менее решил, небольшую сумму перевести ему, дабы не таил обиду и не сделал еще какой пакости
На что он проверив см следующие 3 строчки лога, согласился. С тем и разошлись.
Line 278536: site.ru 95.129.166.242 - - [30/Mar/2012:15:01:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&b8b1de7a7fcf69abf9ae57ef1d0817f4=e8503fedf0422c29e7a246ccb932897d HTTP/1.0" 404 1844 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
Line 278548: site.ru 95.129.166.242 - - [30/Mar/2012:15:15:49 +0400] "GET /?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278549:
www.site.ru 95.129.166.242 - - [30/Mar/2012:15:15:50 +0400] "GET /?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 404 1844 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278537: site.ru 95.129.166.242 - - [30/Mar/2012:15:04:51 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=154&format=raw HTTP/1.0" 404 1844 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
Line 278547:
www.site.ru 95.129.166.242 - - [30/Mar/2012:15:15:46 +0400] "GET / HTTP/1.0" 200 10176 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
О каких то уязвимостях этого компонента ничего не нашел.