Подскажите пожалуйста, каким образом можно заменить файл index.php на сервере?
Дело в том что мой проект был сломан горящей рукой (Hacked by HotHand), судя по логам на хостинге фтп входа... левого.. не было..
Как мне объяснили в техподдержке.. ошибка в движке сайта... сайт полностью самописный.. подскажите, куда стоит обратить внимание??? как человек мог заменить физически файл?
Заранее спасибо.
С уважением.
Спустя 1 час, 4 минуты, 32 секунды (8.09.2011 - 11:26) Белый Тигр написал(а):
| Цитата |
| подскажите, куда стоит обратить внимание??? как человек мог заменить физически файл? |
Вопрос из разряда "что делать если всё пропало?". Существует куча уязвимостей которые позволяют это сделать. Для начала поищите какие-нибудь левые скрипты в папках, где есть разрешение на запись. Затем идём в Goodle читать на тему защиты PHP-скриптов
Если есть необходимость, могу помочь в этом за небольшую плату. Я профессионально занимаюсь анализом веб-приложений на наличие в них уязвимостей и консультациями в данной области.
Спустя 1 час, 21 минута, 19 секунд (8.09.2011 - 12:48) linker написал(а):
Где-то уязвимость code-injection и большинство сайтов ломается через include, fopen и т.п.
Спустя 1 час, 31 минута, 29 секунд (8.09.2011 - 14:19) AlexanderShad написал(а):
В своих скриптах по мимо соединения с базой использую максимум $f = fopen($str.".txt","r");
Через инъекция как я понял переписать физически файл невозможно...
а вот через доступ к cgi можно... как мне объяснили, как вариант... но это уже получается сломали хостинг?
Вот сижу размышляю как составить письмо в техподдержку.. т.к. по телефону мне сказали что проблема в моем движке.. что не исключено.. все мы люди ))
А через fopen каким примерно образом? чтобы защищать..
хотя кстати сказать, год проблем не было...
Интернет я почитаю... но хотелось бы мнение бывалых людей еще услышать
Через инъекция как я понял переписать физически файл невозможно...
а вот через доступ к cgi можно... как мне объяснили, как вариант... но это уже получается сломали хостинг?
Вот сижу размышляю как составить письмо в техподдержку.. т.к. по телефону мне сказали что проблема в моем движке.. что не исключено.. все мы люди ))
А через fopen каким примерно образом? чтобы защищать..
хотя кстати сказать, год проблем не было...
Интернет я почитаю... но хотелось бы мнение бывалых людей еще услышать
Спустя 20 минут, 47 секунд (8.09.2011 - 14:40) killer8080 написал(а):
Возможно была взломана админ панель хостера. Зайдите туда и посмотрите IP последнего захода в панель (обычно такое есть).
Спустя 2 часа, 18 минут, 44 секунды (8.09.2011 - 16:59) Белый Тигр написал(а):
AlexanderShad , вы сейчас устанете угадывать имена функций которые могли быть использованы при взломе. Да и те же SQL-инъекции отбрасывать не стоит. Например достали через инъекцию пароль админа, зашли в админку, а там возможность загрузки произвольных файлов.
Для начала просто возьмите логи у хостера за тот период, когда сайт был предположительно взломан. Поизучайте, вдруг злоумышленники делали что-то методом GET и засветили примерное местонахождение уязвимости в логах?
Для начала просто возьмите логи у хостера за тот период, когда сайт был предположительно взломан. Поизучайте, вдруг злоумышленники делали что-то методом GET и засветили примерное местонахождение уязвимости в логах?
Спустя 2 минуты, 47 секунд (8.09.2011 - 17:02) Игорь_Vasinsky написал(а):
Joomla или UMI.CMS ?
Спустя 10 часов, 35 минут, 46 секунд (9.09.2011 - 03:37) AlexanderShad написал(а):
Получил ответ с хостинга... проблема была у них.
Игорь_Vasinsky, нет самописный движок.
Игорь_Vasinsky, нет самописный движок.
Спустя 2 часа, 22 минуты, 54 секунды (9.09.2011 - 06:00) Белый Тигр написал(а):
| Цитата |
| Получил ответ с хостинга... проблема была у них. |
Массовый взлом произошёл?
Спустя 4 минуты, 46 секунд (9.09.2011 - 06:05) AlexanderShad написал(а):
Этого я не уточнял.