Conroe

Странные ошибки, взлом сайта, заливка шелла

Рекомендуемые сообщения

Conroe    0

Всем привет.

 

Недавно были взломаны сайты на сервере, залит шелл, следом дорвеи.

 

почистил, что смог залатал.

 

Доров больше не было, но шеллы появляются.

в логах есть следующие запросы:

"GET /doadmin.php/.css HTTP/1.0" 200 242 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36"
"POST /catalog/language/english/agoo/html/user-info.php/.css HTTP/1.0" 200 3481 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2224.3 Safari/537.36"

 

Это самый старнный запрос.

Никак не пойму как его заливают. через какую дыру. :(

Все остальные запросы к уже существующим файлам были.

 

Сейчас в админке наблюдаю в журнале ошибок следующие записи:

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139
PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169
PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

При этом что такое .md5 нигде не могу найти.

 

Взломы начались после создания сайта на ocstore.

Кто-то сталкивался с таким?

Буду благодарен за комментарии - подсказки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Otvet    433

При этом что такое .md5 нигде не могу найти.

контрольная сумма

видимо идет проверка "целостности"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    1 021

Взломы начались после создания сайта на ocstore.

 

Взломы начались после установки вареза на оксторе

 

Вот скажите! Вы покупали модуль SEO-CMS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548
...

Разобрались с лицензией

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548
...

 

Вот скажите! Вы покупали модуль SEO-CMS

 

А я точно знаю что на одном "известном" варезе мой модуль выложен с встроенным уродами шеллом (virustotal ругался матом).

Я указал этим уродам, на это. Убрали шеллы, выложили уже без шеллов (уроды и воры, что сказать еще). Но видно много его "скачали", а точнее тоже украли уже с шеллом

На варезах лучше не качать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    1 021

а за это..

 

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139
PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169
PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548

Del

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Conroe    0

Подобные вопросы - спросите в личке, чтобы не выглядеть глупо...

Ладно, chukcha, он-то денег не брал...

 

Самое удивительное, что  на одном сайте заливался только в одну и ту же папку от SEO-CMS модуля, на всех остальных в другие папки - наводит а мысли.

 

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

VPS - наверно меня.

Изменено пользователем Conroe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ArtemPitov    410

Больше варезом пользуйтесь 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548

markimax, тебе скрин перевода денег отправить, или внимательней посмотришь??? :evil:

Проверял логин по списку купивших на форуме. Проверил у себя. Есть.

Сорри, не прав :oops:

 

Насчет почему в папку закидывали эту - ну она первая по списку идет

Заметьте в english - (первая по списку в language) и agoo (первая по списку)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Conroe    0

Заметьте в english - (первая по списку в language) и agoo (первая по списку)

Это мне понятно - но ответить вам как-то надо было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Conroe    0

а за это..

 

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139

PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169

PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

Как поправить и исправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jvz    119

А я точно знаю что на одном "известном" варезе мой модуль выложен с встроенным уродами шеллом (virustotal ругался матом).

Я указал этим уродам, на это.

А зачем? Пусть бы пользовались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Conroe    0

markimax, кстати agoo не первая по списку.

Первая account

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548

А зачем? Пусть бы пользовались.

Да ну, я не такой человек. То что воруют на их совести, но вот такие "заподлянки" я не поддерживаю априори

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 548
..

Без разницы, раз вы писали что во всех папках. Видно так "получилось"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    865

хронология событий не совсем понятна..

 

я правильно понял? - сначала установили варезный модуль (напичканный шеллами), а потом уже купили его официально?

 

если так, то ничего удивительного

простая истина: если в бочку меда добавить ложку г@вна - получится бочка г@вна

 

если же понял неправильно и варез на свои сайты не ставили - ищите и устраняйте причину взлома, на форуме неоднократно обсуждалось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Conroe    0

markimax, это не претензия, это наблюдение.

 

скорее proftpd т.к. под его уязвимость заливали файл, а потом шеллы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
laim731    21

markimax, это не претензия, это наблюдение.

 

скорее proftpd т.к. под его уязвимость заливали файл, а потом шеллы.

Какой версии proftpd? Если 1.3.5 то можно получить через него информацию если версия выше то пока нет эксплойта или кто мега умный нашел 0day

 

И на будущие юзайте варьез на тестовых сайтах пустых. Или делайте запрос разработчику модуля для теста.

Изменено пользователем laim731

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shishkin68    0

Доброй ночи, на сайте после регистрации в яндекс вебмастере, робот обнаружил левые страницы, типа:   domen/csss/ref/article-12601.pdf  . Что это такое, и что делать? У меня ocstore 2.3.0.0.2.3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу