Странные ошибки, взлом сайта, заливка шелла

[Conroe]

Всем привет.

 

Недавно были взломаны сайты на сервере, залит шелл, следом дорвеи.

 

почистил, что смог залатал.

 

Доров больше не было, но шеллы появляются.

в логах есть следующие запросы:

"GET /doadmin.php/.css HTTP/1.0" 200 242 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.109 Safari/537.36"
"POST /catalog/language/english/agoo/html/user-info.php/.css HTTP/1.0" 200 3481 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2224.3 Safari/537.36"

 

Это самый старнный запрос.

Никак не пойму как его заливают. через какую дыру. :(

Все остальные запросы к уже существующим файлам были.

 

Сейчас в админке наблюдаю в журнале ошибок следующие записи:

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139
PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169
PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

При этом что такое .md5 нигде не могу найти.

 

Взломы начались после создания сайта на ocstore.

Кто-то сталкивался с таким?

Буду благодарен за комментарии - подсказки...

[Otvet]

При этом что такое .md5 нигде не могу найти.

контрольная сумма

видимо идет проверка "целостности"

[chukcha]

Взломы начались после создания сайта на ocstore.

 

Взломы начались после установки вареза на оксторе

 

Вот скажите! Вы покупали модуль SEO-CMS

[markimax]

...

Разобрались с лицензией

[markimax]

...

 

Вот скажите! Вы покупали модуль SEO-CMS

 

А я точно знаю что на одном "известном" варезе мой модуль выложен с встроенным уродами шеллом (virustotal ругался матом).

Я указал этим уродам, на это. Убрали шеллы, выложили уже без шеллов (уроды и воры, что сказать еще). Но видно много его "скачали", а точнее тоже украли уже с шеллом

На варезах лучше не качать

[chukcha]

а за это..

 

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139
PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169
PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

[markimax]

Del

[Conroe]

Подобные вопросы - спросите в личке, чтобы не выглядеть глупо...

Ладно, chukcha, он-то денег не брал...

 

Самое удивительное, что  на одном сайте заливался только в одну и ту же папку от SEO-CMS модуля, на всех остальных в другие папки - наводит а мысли.

 

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

VPS - наверно меня.

Змінено 21 травня 2016 користувачем Conroe

[ArtemPitov]

Больше варезом пользуйтесь 

[markimax]

markimax, тебе скрин перевода денег отправить, или внимательней посмотришь??? :evil:

Проверял логин по списку купивших на форуме. Проверил у себя. Есть.

Сорри, не прав :oops:

 

Насчет почему в папку закидывали эту - ну она первая по списку идет

Заметьте в english - (первая по списку в language) и agoo (первая по списку)

[Conroe]

Заметьте в english - (первая по списку в language) и agoo (первая по списку)

Это мне понятно - но ответить вам как-то надо было...

[Conroe]

а за это..

 

PHP Notice: Undefined index: in /var/www/******/admin/.md5 on line 139

PHP Notice: Undefined variable: ll in /var/www/*******/admin/.md5 on line 169

PHP Notice: Undefined index: HTTP_USER_AGENT in /var/www/*******/admin/.md5 on line 135

 

Не знаю кого убивать.. хостера? Или кто разрешил выполнять такие файлы?

Как поправить и исправить?

[jvz]

А я точно знаю что на одном "известном" варезе мой модуль выложен с встроенным уродами шеллом (virustotal ругался матом).

Я указал этим уродам, на это.

А зачем? Пусть бы пользовались.

[Conroe]

markimax, кстати agoo не первая по списку.

Первая account

[markimax]

А зачем? Пусть бы пользовались.

Да ну, я не такой человек. То что воруют на их совести, но вот такие "заподлянки" я не поддерживаю априори

[markimax]

..

Без разницы, раз вы писали что во всех папках. Видно так "получилось"

[AlexDW]

хронология событий не совсем понятна..

 

я правильно понял? - сначала установили варезный модуль (напичканный шеллами), а потом уже купили его официально?

 

если так, то ничего удивительного

простая истина: если в бочку меда добавить ложку г@вна - получится бочка г@вна

 

если же понял неправильно и варез на свои сайты не ставили - ищите и устраняйте причину взлома, на форуме неоднократно обсуждалось

[Conroe]

markimax, это не претензия, это наблюдение.

 

скорее proftpd т.к. под его уязвимость заливали файл, а потом шеллы.

[laim731]

markimax, это не претензия, это наблюдение.

 

скорее proftpd т.к. под его уязвимость заливали файл, а потом шеллы.

Какой версии proftpd? Если 1.3.5 то можно получить через него информацию если версия выше то пока нет эксплойта или кто мега умный нашел 0day

 

И на будущие юзайте варьез на тестовых сайтах пустых. Или делайте запрос разработчику модуля для теста.

Змінено 24 травня 2016 користувачем laim731

[Shishkin68]

Доброй ночи, на сайте после регистрации в яндекс вебмастере, робот обнаружил левые страницы, типа:   domen/csss/ref/article-12601.pdf  . Что это такое, и что делать? У меня ocstore 2.3.0.0.2.3