kos0760 Опубліковано: 27 липня 2013 Share Опубліковано: 27 липня 2013 Ребят, заметил в логах своего сайта вот такое 85.64.136.32 - - [28/Jul/2013:02:20:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835212.87.191.66 - - [28/Jul/2013:02:20:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835105.226.197.79 - - [28/Jul/2013:02:20:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483579.183.118.48 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835212.87.191.66 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835212.87.191.66 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.151.20.36 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835122.22.89.63 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.245.80.26 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.205.217.20 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.213.111.108 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.205.217.20 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.192.88.24 - - [28/Jul/2013:02:20:55 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483581.162.228.67 - - [28/Jul/2013:02:20:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483582.29.159.106 - - [28/Jul/2013:02:20:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835188.230.26.175 - - [28/Jul/2013:02:21:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.23.108.224 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.23.108.224 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835189.186.156.143 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835189.250.222.221 - - [28/Jul/2013:02:21:02 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.92.0.210 - - [28/Jul/2013:02:21:08 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483579.183.118.48 - - [28/Jul/2013:02:21:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.151.20.36 - - [28/Jul/2013:02:21:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.125.235.109 - - [28/Jul/2013:02:21:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.120.24.134 - - [28/Jul/2013:02:21:11 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835175.144.187.29 - - [28/Jul/2013:02:21:34 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835190.79.216.187 - - [28/Jul/2013:02:21:36 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.120.135.48 - - [28/Jul/2013:02:21:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483581.148.72.103 - - [28/Jul/2013:02:21:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.149.222.85 - - [28/Jul/2013:02:21:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835188.115.153.126 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.118.162.106 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.213.105.36 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.122.239.123 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483537.213.135.248 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835151.0.31.36 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483580.3.76.67 - - [28/Jul/2013:02:21:43 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483537.215.67.197 - - [28/Jul/2013:02:21:44 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.122.210.115 - - [28/Jul/2013:02:21:44 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483546.118.37.164 - - [28/Jul/2013:02:21:46 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835176.102.0.47 - - [28/Jul/2013:02:21:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.154.172.29 - - [28/Jul/2013:02:21:48 +0400] "GET /suhie-smesi/styazhki-samoniveliry/samonivelir-TM40-chernovoi-25kg.html HTTP/1.0" 200 4784237.212.32.34 - - [28/Jul/2013:02:21:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483593.105.13.94 - - [28/Jul/2013:02:21:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.125.173.142 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.125.173.142 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835176.102.0.47 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.211.175.244 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.225.188.170 - - [28/Jul/2013:02:21:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483593.127.17.56 - - [28/Jul/2013:02:21:52 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483593.78.46.250 - - [28/Jul/2013:02:21:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483582.193.103.47 - - [28/Jul/2013:02:21:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835109.251.138.174 - - [28/Jul/2013:02:21:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483537.44.117.197 - - [28/Jul/2013:02:21:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.201.246.17 - - [28/Jul/2013:02:22:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835193.110.75.90 - - [28/Jul/2013:02:22:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835177.100.88.239 - - [28/Jul/2013:02:22:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483537.52.111.36 - - [28/Jul/2013:02:22:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483537.54.28.249 - - [28/Jul/2013:02:22:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483591.211.175.244 - - [28/Jul/2013:02:22:06 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835178.120.240.50 - - [28/Jul/2013:02:22:06 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 2483582.160.207.4 - - [28/Jul/2013:02:22:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835 И это лишь часть записи за последний день. Что это может быть? Надіслати Поділитися на інших сайтах More sharing options...
Tom Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона. 2 Надіслати Поділитися на інших сайтах More sharing options... 12strun Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 Это какой-то бот, меняя IP каждую минуту, пытается залить файл btdghtrgp.pho в каталог /download. Кто-то вам пытается засунуть зловреда. Надіслати Поділитися на інших сайтах More sharing options... LTN Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 Скорее наоборот. Бот пытается достучаться до однажды ранее залитого файла, и закинуть через него ссылку. Возможно сайт не так давно чистили от вируса, источник шелла удалили, и файл заодно, а в хакерских списках на продажу он до сих пор числится.Что делать? Ничего не делать. Бот получает 404, следовательно в будущем либо будет предпринята попытка залить шелл заново, либо же этот сайт постепенно удалят из списков.ТС не мешало бы проверить файлы js, нет ли в них обилия слэшей в конце и левых ссылок. Причина его появления - скорее всего расширения с варезников. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 btdqhnrgp.php Хотел посмотреть, что же это за зловред такой может быть, так вот, очень странно — ни один из поисковиков никогда не слышал о таком файле. Единственное упоминание - эта тема. Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 28 липня 2013 Автор Share Опубліковано: 28 липня 2013 Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона. Вообще в папке download кроме index.html ничего нет и никогда не было. Сайт только создается и не был в работе. В header.tpl ничего подозрительного нет. Файл htaccsess в том же виде, что и после установки движка ocStore 1.5.4.1 Еще сегодня покопался и заметил это: 95.211.188.136 - - [22/Jul/2013:04:33:40 +0400] "GET /wp-login.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:33:54 +0400] "GET /administrator/index.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:34:07 +0400] "GET /bitrix/admin/index.php?lang=en HTTP/1.0" 404 24859 95.211.188.136 - - [22/Jul/2013:04:34:18 +0400] "GET /admin/index.php HTTP/1.0" 200 3721 95.211.188.136 - - [22/Jul/2013:04:34:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:34:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:34:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:35:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3959 95.211.188.136 - - [22/Jul/2013:04:36:00 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:36:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:36:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:36:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:37:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:37:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:37:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:37:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:37:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:38:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:39:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:15 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:40:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:41:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:41:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3961 95.211.188.136 - - [22/Jul/2013:04:41:47 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:41:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:42:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:43:10 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:43:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:43:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:43:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:43:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:44:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:44:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:44:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:44:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:44:59 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:45:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:45:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:45:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:45:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3975 95.211.188.136 - - [22/Jul/2013:04:46:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:46:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:36 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:47:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:47:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:48:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:48:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:48:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:48:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:49:32 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:49:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:50:03 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:50:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:50:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:51:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:51:22 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:51:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3970 95.211.188.136 - - [22/Jul/2013:04:52:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:52:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3972 95.211.188.136 - - [22/Jul/2013:04:52:40 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:52:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:53:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:53:24 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:53:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:53:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:54:08 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:54:20 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:54:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:55:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:55:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:56:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:57:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:58:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 блаблабла 95.211.188.136 - - [22/Jul/2013:05:33:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:33:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:33:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:05:34:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:34:39 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:05:34:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:05:35:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 302 - а потом уже так: 197.7.112.28 - - [26/Jul/2013:13:51:15 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 93.126.82.169 - - [26/Jul/2013:13:51:16 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 279 126.15.37.62 - - [26/Jul/2013:13:51:22 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 187 110.34.4.242 - - [26/Jul/2013:13:51:25 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 193 109.86.194.116 - - [26/Jul/2013:13:51:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 199 121.97.121.89 - - [26/Jul/2013:13:51:35 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 209 37.45.123.74 - - [26/Jul/2013:13:51:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 176 2.49.95.85 - - [26/Jul/2013:13:51:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 201 95.158.40.178 - - [26/Jul/2013:13:51:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 259 2.228.147.244 - - [26/Jul/2013:13:51:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 223 182.93.194.251 - - [26/Jul/2013:13:51:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 149 178.127.11.23 - - [26/Jul/2013:13:51:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 178 41.221.54.198 - - [26/Jul/2013:13:51:54 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 177 178.125.56.139 - - [26/Jul/2013:13:51:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 102 115.111.114.122 - - [26/Jul/2013:13:51:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 135 125.162.161.217 - - [26/Jul/2013:13:52:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 311 213.55.105.43 - - [26/Jul/2013:13:52:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 127 189.133.101.197 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 219 182.52.12.148 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 122 122.179.93.235 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 313 41.70.161.153 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 213 193.104.85.202 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 229 5.52.97.20 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 213.238.8.13 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 108 78.159.53.193 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 121.97.252.11 - - [26/Jul/2013:13:52:26 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.213.44.33 - - [26/Jul/2013:13:52:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.8.216.152 - - [26/Jul/2013:13:52:29 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 213.210.219.251 - - [26/Jul/2013:13:52:33 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.122.227.134 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.108.12.188 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:52:50 +0400] "GET /index.php?route=module/cart HTTP/1.0" 200 483 1.179.169.181 - - [26/Jul/2013:13:53:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 2.185.242.231 - - [26/Jul/2013:13:53:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/mineral-vata-ursa-24-mkv.html HTTP/1.0" 200 43738 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/catalog/view/javascript/PIE.htc HTTP/1.0" 404 24835 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /index.php?route=product/product/captcha HTTP/1.0" 200 2506 37.44.109.60 - - [26/Jul/2013:13:53:09 +0400] "GET /index.php?route=product/product/review&product_id=183 HTTP/1.0" 200 77 94.59.255.163 - - [26/Jul/2013:13:53:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.124.144.204 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 41.249.221.123 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 109.86.251.67 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 Походу ломанули мой сайт. Не знаю, что делать. В вопросах безопасности вообще ничего не понимаю. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Да, похоже бот подряд по движкам искал админку. Нашел и видимо дальше уже просто её брутфорсил по словарям. Учитывая что ip он при этом не менял, то нужно сделать бан по IP при неправильной авторизации админа. UPD: посмотрел с какого IP вас ломали. Всё очень плохо, лисавеб - самый абузоустойчивый хостинг, им почти на всё пофиг. Но если хотите, то можете всё-таки им написать и пожаловаться: inetnum: 95.211.185.192 - 95.211.191.255 netname: LEASEWEBdescr: LeaseWebdescr: P.O. Box 93054descr: 1090BB AMSTERDAMdescr: Netherlandsdescr: www.leaseweb.comremarks: assignment LEASEWEB 20080723remarks: Please send email to "[email protected]" for complaints remarks: regarding portscans, DoS attacks and spam. Надіслати Поділитися на інших сайтах More sharing options... garik Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Сегодня пришло письмо от Мастерхоста: В последнее время участились случаи взлома CMS OpenCard с использованием обнаруженнойболее года назад уязвимости:http://www.securitylab.ru/vulnerability/422889.phpПри эксплуатации этой уязвимости на первом этапе вредоносный код размещается в директорииdownload, а далее через размещенные там скрипты производятся другие действия, такие, какрассылка спама или изменение произвольных файлов. В случае размещения вебшеллазлоумышленник получает полный доступ ко всей площадке и может размещать свои скрипты налюбом сайте площадкиНа вашей площадке используется данная CMS, поэтому рекомендуем вам проверитьвсю вашу площадку на наличие посторонних файлов. Также проверьте файлы .htaccess навнедрение туда кода переадресации мобильных устройств на сайт, содержащий вирусы дляAndroid. Для того, чтобы воспрепятствовать дальнейшей эксплуатации данной уязвимости,рекомендуем либо полностью запретить запись в директорию download путём установки на неёатрибутов 555, либо разместить в ней файл .htaccess c директивой deny from all. 1 Надіслати Поділитися на інших сайтах More sharing options... freelancer Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 решение: выпилить метод upload из контролера product Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 А ссылка с секлаба на источник очень даже информативная. Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Очень частые запросы к сайту Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
12strun Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 Это какой-то бот, меняя IP каждую минуту, пытается залить файл btdghtrgp.pho в каталог /download. Кто-то вам пытается засунуть зловреда. Надіслати Поділитися на інших сайтах More sharing options...
LTN Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 Скорее наоборот. Бот пытается достучаться до однажды ранее залитого файла, и закинуть через него ссылку. Возможно сайт не так давно чистили от вируса, источник шелла удалили, и файл заодно, а в хакерских списках на продажу он до сих пор числится.Что делать? Ничего не делать. Бот получает 404, следовательно в будущем либо будет предпринята попытка залить шелл заново, либо же этот сайт постепенно удалят из списков.ТС не мешало бы проверить файлы js, нет ли в них обилия слэшей в конце и левых ссылок. Причина его появления - скорее всего расширения с варезников. Надіслати Поділитися на інших сайтах More sharing options...
deim Опубліковано: 28 липня 2013 Share Опубліковано: 28 липня 2013 btdqhnrgp.php Хотел посмотреть, что же это за зловред такой может быть, так вот, очень странно — ни один из поисковиков никогда не слышал о таком файле. Единственное упоминание - эта тема. Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 28 липня 2013 Автор Share Опубліковано: 28 липня 2013 Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона. Вообще в папке download кроме index.html ничего нет и никогда не было. Сайт только создается и не был в работе. В header.tpl ничего подозрительного нет. Файл htaccsess в том же виде, что и после установки движка ocStore 1.5.4.1 Еще сегодня покопался и заметил это: 95.211.188.136 - - [22/Jul/2013:04:33:40 +0400] "GET /wp-login.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:33:54 +0400] "GET /administrator/index.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:34:07 +0400] "GET /bitrix/admin/index.php?lang=en HTTP/1.0" 404 24859 95.211.188.136 - - [22/Jul/2013:04:34:18 +0400] "GET /admin/index.php HTTP/1.0" 200 3721 95.211.188.136 - - [22/Jul/2013:04:34:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:34:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:34:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:35:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3959 95.211.188.136 - - [22/Jul/2013:04:36:00 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:36:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:36:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:36:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:37:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:37:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:37:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:37:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:37:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:38:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:39:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:15 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:40:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:41:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:41:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3961 95.211.188.136 - - [22/Jul/2013:04:41:47 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:41:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:42:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:43:10 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:43:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:43:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:43:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:43:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:44:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:44:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:44:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:44:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:44:59 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:45:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:45:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:45:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:45:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3975 95.211.188.136 - - [22/Jul/2013:04:46:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:46:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:36 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:47:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:47:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:48:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:48:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:48:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:48:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:49:32 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:49:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:50:03 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:50:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:50:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:51:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:51:22 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:51:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3970 95.211.188.136 - - [22/Jul/2013:04:52:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:52:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3972 95.211.188.136 - - [22/Jul/2013:04:52:40 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:52:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:53:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:53:24 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:53:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:53:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:54:08 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:54:20 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:54:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:55:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:55:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:56:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:57:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:58:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 блаблабла 95.211.188.136 - - [22/Jul/2013:05:33:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:33:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:33:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:05:34:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:34:39 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:05:34:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:05:35:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 302 - а потом уже так: 197.7.112.28 - - [26/Jul/2013:13:51:15 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 93.126.82.169 - - [26/Jul/2013:13:51:16 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 279 126.15.37.62 - - [26/Jul/2013:13:51:22 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 187 110.34.4.242 - - [26/Jul/2013:13:51:25 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 193 109.86.194.116 - - [26/Jul/2013:13:51:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 199 121.97.121.89 - - [26/Jul/2013:13:51:35 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 209 37.45.123.74 - - [26/Jul/2013:13:51:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 176 2.49.95.85 - - [26/Jul/2013:13:51:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 201 95.158.40.178 - - [26/Jul/2013:13:51:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 259 2.228.147.244 - - [26/Jul/2013:13:51:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 223 182.93.194.251 - - [26/Jul/2013:13:51:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 149 178.127.11.23 - - [26/Jul/2013:13:51:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 178 41.221.54.198 - - [26/Jul/2013:13:51:54 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 177 178.125.56.139 - - [26/Jul/2013:13:51:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 102 115.111.114.122 - - [26/Jul/2013:13:51:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 135 125.162.161.217 - - [26/Jul/2013:13:52:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 311 213.55.105.43 - - [26/Jul/2013:13:52:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 127 189.133.101.197 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 219 182.52.12.148 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 122 122.179.93.235 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 313 41.70.161.153 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 213 193.104.85.202 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 229 5.52.97.20 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 213.238.8.13 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 108 78.159.53.193 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 121.97.252.11 - - [26/Jul/2013:13:52:26 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.213.44.33 - - [26/Jul/2013:13:52:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.8.216.152 - - [26/Jul/2013:13:52:29 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 213.210.219.251 - - [26/Jul/2013:13:52:33 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.122.227.134 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.108.12.188 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:52:50 +0400] "GET /index.php?route=module/cart HTTP/1.0" 200 483 1.179.169.181 - - [26/Jul/2013:13:53:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 2.185.242.231 - - [26/Jul/2013:13:53:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/mineral-vata-ursa-24-mkv.html HTTP/1.0" 200 43738 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/catalog/view/javascript/PIE.htc HTTP/1.0" 404 24835 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /index.php?route=product/product/captcha HTTP/1.0" 200 2506 37.44.109.60 - - [26/Jul/2013:13:53:09 +0400] "GET /index.php?route=product/product/review&product_id=183 HTTP/1.0" 200 77 94.59.255.163 - - [26/Jul/2013:13:53:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.124.144.204 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 41.249.221.123 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 109.86.251.67 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 Походу ломанули мой сайт. Не знаю, что делать. В вопросах безопасности вообще ничего не понимаю. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Да, похоже бот подряд по движкам искал админку. Нашел и видимо дальше уже просто её брутфорсил по словарям. Учитывая что ip он при этом не менял, то нужно сделать бан по IP при неправильной авторизации админа. UPD: посмотрел с какого IP вас ломали. Всё очень плохо, лисавеб - самый абузоустойчивый хостинг, им почти на всё пофиг. Но если хотите, то можете всё-таки им написать и пожаловаться: inetnum: 95.211.185.192 - 95.211.191.255 netname: LEASEWEBdescr: LeaseWebdescr: P.O. Box 93054descr: 1090BB AMSTERDAMdescr: Netherlandsdescr: www.leaseweb.comremarks: assignment LEASEWEB 20080723remarks: Please send email to "[email protected]" for complaints remarks: regarding portscans, DoS attacks and spam. Надіслати Поділитися на інших сайтах More sharing options... garik Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Сегодня пришло письмо от Мастерхоста: В последнее время участились случаи взлома CMS OpenCard с использованием обнаруженнойболее года назад уязвимости:http://www.securitylab.ru/vulnerability/422889.phpПри эксплуатации этой уязвимости на первом этапе вредоносный код размещается в директорииdownload, а далее через размещенные там скрипты производятся другие действия, такие, какрассылка спама или изменение произвольных файлов. В случае размещения вебшеллазлоумышленник получает полный доступ ко всей площадке и может размещать свои скрипты налюбом сайте площадкиНа вашей площадке используется данная CMS, поэтому рекомендуем вам проверитьвсю вашу площадку на наличие посторонних файлов. Также проверьте файлы .htaccess навнедрение туда кода переадресации мобильных устройств на сайт, содержащий вирусы дляAndroid. Для того, чтобы воспрепятствовать дальнейшей эксплуатации данной уязвимости,рекомендуем либо полностью запретить запись в директорию download путём установки на неёатрибутов 555, либо разместить в ней файл .htaccess c директивой deny from all. 1 Надіслати Поділитися на інших сайтах More sharing options... freelancer Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 решение: выпилить метод upload из контролера product Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 А ссылка с секлаба на источник очень даже информативная. Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Очень частые запросы к сайту Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
kos0760 Опубліковано: 28 липня 2013 Автор Share Опубліковано: 28 липня 2013 Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона. Вообще в папке download кроме index.html ничего нет и никогда не было. Сайт только создается и не был в работе. В header.tpl ничего подозрительного нет. Файл htaccsess в том же виде, что и после установки движка ocStore 1.5.4.1 Еще сегодня покопался и заметил это: 95.211.188.136 - - [22/Jul/2013:04:33:40 +0400] "GET /wp-login.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:33:54 +0400] "GET /administrator/index.php HTTP/1.0" 404 24835 95.211.188.136 - - [22/Jul/2013:04:34:07 +0400] "GET /bitrix/admin/index.php?lang=en HTTP/1.0" 404 24859 95.211.188.136 - - [22/Jul/2013:04:34:18 +0400] "GET /admin/index.php HTTP/1.0" 200 3721 95.211.188.136 - - [22/Jul/2013:04:34:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:34:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:34:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:35:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:35:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3959 95.211.188.136 - - [22/Jul/2013:04:36:00 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:36:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:36:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:36:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:37:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:37:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:37:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:37:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:37:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:38:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:38:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:39:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:39:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:15 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:40:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:40:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:41:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960 95.211.188.136 - - [22/Jul/2013:04:41:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3961 95.211.188.136 - - [22/Jul/2013:04:41:47 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:41:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:42:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:42:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:43:10 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:43:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:43:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:43:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:43:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:44:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:44:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:44:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:44:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:44:59 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:45:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:45:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:45:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:45:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3975 95.211.188.136 - - [22/Jul/2013:04:46:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:46:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:36 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:46:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:47:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:47:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:47:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:48:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:48:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:48:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962 95.211.188.136 - - [22/Jul/2013:04:48:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:49:32 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:49:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:49:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:04:50:03 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:50:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:50:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:04:50:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:51:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:51:22 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:51:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3970 95.211.188.136 - - [22/Jul/2013:04:52:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:52:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3972 95.211.188.136 - - [22/Jul/2013:04:52:40 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:52:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:53:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:53:24 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:53:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:53:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:54:08 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969 95.211.188.136 - - [22/Jul/2013:04:54:20 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:54:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:55:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:04:55:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:04:56:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:56:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:04:57:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968 95.211.188.136 - - [22/Jul/2013:04:57:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971 95.211.188.136 - - [22/Jul/2013:04:58:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 блаблабла 95.211.188.136 - - [22/Jul/2013:05:33:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:33:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:33:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967 95.211.188.136 - - [22/Jul/2013:05:34:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965 95.211.188.136 - - [22/Jul/2013:05:34:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963 95.211.188.136 - - [22/Jul/2013:05:34:39 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966 95.211.188.136 - - [22/Jul/2013:05:34:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964 95.211.188.136 - - [22/Jul/2013:05:35:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 302 - а потом уже так: 197.7.112.28 - - [26/Jul/2013:13:51:15 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 93.126.82.169 - - [26/Jul/2013:13:51:16 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 279 126.15.37.62 - - [26/Jul/2013:13:51:22 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 187 110.34.4.242 - - [26/Jul/2013:13:51:25 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 193 109.86.194.116 - - [26/Jul/2013:13:51:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 199 121.97.121.89 - - [26/Jul/2013:13:51:35 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 209 37.45.123.74 - - [26/Jul/2013:13:51:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 176 2.49.95.85 - - [26/Jul/2013:13:51:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 201 95.158.40.178 - - [26/Jul/2013:13:51:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 259 2.228.147.244 - - [26/Jul/2013:13:51:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 223 182.93.194.251 - - [26/Jul/2013:13:51:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 149 178.127.11.23 - - [26/Jul/2013:13:51:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 178 41.221.54.198 - - [26/Jul/2013:13:51:54 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 177 178.125.56.139 - - [26/Jul/2013:13:51:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 102 115.111.114.122 - - [26/Jul/2013:13:51:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 135 125.162.161.217 - - [26/Jul/2013:13:52:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 311 213.55.105.43 - - [26/Jul/2013:13:52:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 127 189.133.101.197 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 219 182.52.12.148 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 122 122.179.93.235 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 313 41.70.161.153 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 213 193.104.85.202 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 229 5.52.97.20 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221 213.238.8.13 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 108 78.159.53.193 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 121.97.252.11 - - [26/Jul/2013:13:52:26 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.213.44.33 - - [26/Jul/2013:13:52:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.8.216.152 - - [26/Jul/2013:13:52:29 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 213.210.219.251 - - [26/Jul/2013:13:52:33 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.122.227.134 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 176.108.12.188 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:52:50 +0400] "GET /index.php?route=module/cart HTTP/1.0" 200 483 1.179.169.181 - - [26/Jul/2013:13:53:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 2.185.242.231 - - [26/Jul/2013:13:53:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/mineral-vata-ursa-24-mkv.html HTTP/1.0" 200 43738 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/catalog/view/javascript/PIE.htc HTTP/1.0" 404 24835 37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /index.php?route=product/product/captcha HTTP/1.0" 200 2506 37.44.109.60 - - [26/Jul/2013:13:53:09 +0400] "GET /index.php?route=product/product/review&product_id=183 HTTP/1.0" 200 77 94.59.255.163 - - [26/Jul/2013:13:53:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 178.124.144.204 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 41.249.221.123 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 109.86.251.67 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5 Походу ломанули мой сайт. Не знаю, что делать. В вопросах безопасности вообще ничего не понимаю. Надіслати Поділитися на інших сайтах More sharing options...
deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Да, похоже бот подряд по движкам искал админку. Нашел и видимо дальше уже просто её брутфорсил по словарям. Учитывая что ip он при этом не менял, то нужно сделать бан по IP при неправильной авторизации админа. UPD: посмотрел с какого IP вас ломали. Всё очень плохо, лисавеб - самый абузоустойчивый хостинг, им почти на всё пофиг. Но если хотите, то можете всё-таки им написать и пожаловаться: inetnum: 95.211.185.192 - 95.211.191.255 netname: LEASEWEBdescr: LeaseWebdescr: P.O. Box 93054descr: 1090BB AMSTERDAMdescr: Netherlandsdescr: www.leaseweb.comremarks: assignment LEASEWEB 20080723remarks: Please send email to "[email protected]" for complaints remarks: regarding portscans, DoS attacks and spam. Надіслати Поділитися на інших сайтах More sharing options... garik Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Сегодня пришло письмо от Мастерхоста: В последнее время участились случаи взлома CMS OpenCard с использованием обнаруженнойболее года назад уязвимости:http://www.securitylab.ru/vulnerability/422889.phpПри эксплуатации этой уязвимости на первом этапе вредоносный код размещается в директорииdownload, а далее через размещенные там скрипты производятся другие действия, такие, какрассылка спама или изменение произвольных файлов. В случае размещения вебшеллазлоумышленник получает полный доступ ко всей площадке и может размещать свои скрипты налюбом сайте площадкиНа вашей площадке используется данная CMS, поэтому рекомендуем вам проверитьвсю вашу площадку на наличие посторонних файлов. Также проверьте файлы .htaccess навнедрение туда кода переадресации мобильных устройств на сайт, содержащий вирусы дляAndroid. Для того, чтобы воспрепятствовать дальнейшей эксплуатации данной уязвимости,рекомендуем либо полностью запретить запись в директорию download путём установки на неёатрибутов 555, либо разместить в ней файл .htaccess c директивой deny from all. 1 Надіслати Поділитися на інших сайтах More sharing options... freelancer Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 решение: выпилить метод upload из контролера product Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 А ссылка с секлаба на источник очень даже информативная. Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Очень частые запросы к сайту Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
garik Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Сегодня пришло письмо от Мастерхоста: В последнее время участились случаи взлома CMS OpenCard с использованием обнаруженнойболее года назад уязвимости:http://www.securitylab.ru/vulnerability/422889.phpПри эксплуатации этой уязвимости на первом этапе вредоносный код размещается в директорииdownload, а далее через размещенные там скрипты производятся другие действия, такие, какрассылка спама или изменение произвольных файлов. В случае размещения вебшеллазлоумышленник получает полный доступ ко всей площадке и может размещать свои скрипты налюбом сайте площадкиНа вашей площадке используется данная CMS, поэтому рекомендуем вам проверитьвсю вашу площадку на наличие посторонних файлов. Также проверьте файлы .htaccess навнедрение туда кода переадресации мобильных устройств на сайт, содержащий вирусы дляAndroid. Для того, чтобы воспрепятствовать дальнейшей эксплуатации данной уязвимости,рекомендуем либо полностью запретить запись в директорию download путём установки на неёатрибутов 555, либо разместить в ней файл .htaccess c директивой deny from all. 1 Надіслати Поділитися на інших сайтах More sharing options...
freelancer Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 решение: выпилить метод upload из контролера product Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 А ссылка с секлаба на источник очень даже информативная. Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Очень частые запросы к сайту
deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 А ссылка с секлаба на источник очень даже информативная. Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D Надіслати Поділитися на інших сайтах More sharing options... kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options... deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
kos0760 Опубліковано: 29 липня 2013 Автор Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Надіслати Поділитися на інших сайтах More sharing options...
deim Опубліковано: 29 липня 2013 Share Опубліковано: 29 липня 2013 Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет. Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Recommended Posts