Вы не зашли.
Страницы 1
У меня была, тоесть есть, такая проблема. В корне сайта есть файлы index.php и .htaccess туда кто то постоянно вносит изменения, фактически вирус, который блокирует работу сайта, это происходит уже более недели, уже так было 3 раза, я уже и поставил права 444 на них, уже и пароли каждый раз менял но постоянно все возобновляется, вот вчера смотрю снова кто то изменил файлы и установил права 777.
Написал я все это хостеру вот что мне ответил
Здравствуйте.
Этот сайт действительно взломан. Вот в этот каталог /uploads/images/default/ были загружены специальные файлы под видом картинок (видимо ваш движок имеет уязвимость, раз позволяет загружать вместо картинок любой исполняемый файл). Файлы представляют собой удаленную оболчку через которую атакующий может загружать на сервер любые файлы и выполнять некоторые команды на сервере, в том числе создавать и удалять файлы, а так же запускать вредоносный код. Вот лог загрузки этих файлов:5.9.96.235 - - [03/Jul/2015:16:34:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 174 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:36:52 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:55:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:58:50 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 164 "-" "-"
5.9.96.235 - - [03/Jul/2015:17:03:17 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"Все найденные вредоносные файлы я удалил, но скорее всего это не поможет надолго, пока уязвимость в вашем движке не исправлена. С этим вопросом обратитесь к разработчику.
---
Че делать?
Не в сети
У тебя в админке в разрешенных какие файлы стоят для загрузки
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
1) В новых версиях NG уже давно стоит запрет на "дописывание" .php в настройках, а также на двойные расширения.
2) Не удивлюсь, если использовался какой-нибудь легкий словарный пароль из 6 букв, который легко брутится.
3) Логи использования shell'a ничем не помогут. Желательно найти так сказать "точку взлома", т.е. откуда все пошло... При наличии логов, это реальная задача.
Не в сети
Ну раньше однокласников с помощью картинок ломали,в картинку добавляли php код,расширение оставляли и отправляли челу которого надо взломать, тот открывал картинку на своей страничке и код встроенный отправлял файлы куки на специальный сайт,от туда эти файлы добавляли в оперу и заходили на страницу чела .Вот так было раньше. В соц сетях этот момент уже давно исправили.
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
Ну хорошо. Покажи как ты допишешь .php в список.
Не в сети
infinity237, нифига, у меня стоит самая последнвяя версия из ночной сборки
Кто имеет права на загрузку файлов и изображений?,плагин nsm используешь?
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
Думаю проблема пошла с того что у меня там стоит доделаный плагин в который можно загружать свои картинки, доступа к нему всем вроде как нет (тоесть я его никому не показываю, плагин для внутреннего использования) но скорее всего кто то как то линк нарыл, там доступа к админке не надо, туда залили картинки типа 11.jpg, хотя на самом деле там был код, из этого кода ужа дальше взламали конфиг, index.php и .htaccess и другие файлы, возможно и базу где потом взаламали юзера который уже загружал эти вот файлы через админку, просто юзеров у меня много, сотни, всех не проверяю.
Может както и попроще все сделали, хз, вопрос в том как кроме айпи теперь все это защитить, так как по айпи неочень удобно работать на растоянии.
Не в сети
Скорее всего в этом и проблема,я выше объяснил как работает взлом через картинку,по этому и спрашивал про nsm, думал у тебя может модифицированный какой стоит.
Сначала получили куки с сайта ,зашли в админку,а там сделали правки ,залили файл php, ну а дальше понятно
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
В последних версиях NG, эта опция не влияет на дописывание .php
.php должно блокироваться при любых вариантах, если у вас дописывается это значит что старая версия NG.
Не в сети
irbees2008 пишет:В последних версиях NG, эта опция не влияет на дописывание .php
.php должно блокироваться при любых вариантах, если у вас дописывается это значит что старая версия NG.
так это скрин с гитовской последней версии,и блокирует файлы с двойным расширением
Изменено irbees2008 (2015-07-08 19:24:25)
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
infinity237, я не совсем понял твой коммент, можеш еще раз, что именно не влеяет?
у меня 100% самая последняя версия.
Согласно вот этому изменению (почти 3 годичной давности):
https://www.assembla.com/code/ngcms/c14 … ommit/1076
https://github.com/vponomarev/ngcms-cor … 8e1aa7aa03
В админке можно прописывать любые расширения, но непосредственно при загрузке (любой, будь то загрузчик файлов/изображений или загрузчик аттачментов в новостях или загрузчик изображений xfields - все эти фичи используют upload.class.php), файлы с расширениями 'php', 'pht', 'phtml', 'php3', 'php4', 'php5' будут отбрасываться. Будет выводиться сообщение, по типу:
(301) Загрузка файлов данного типа/с данным расширением запрещена (libnews.php)
Двойные расширения не представляют никакой угрозы при правильно настроенном сервере.
Если все же файл .php каким-то образом попал в /uploads/images/default/, то я вижу этому следующие возможные объяснения:
1) В NG, в частности upload.class.php, всеже есть где-то дыра, но на данный момент её идентифицировать не представляется возможным.
2) Файл был загружен по FTP.
3) Файл был загружен через другой скрипт, непосредственно не использующий upload.class.php
Не в сети
Думаю проблема пошла с того что у меня там стоит доделаный плагин в который можно загружать свои картинки, доступа к нему всем вроде как нет (тоесть я его никому не показываю, плагин для внутреннего использования) но скорее всего кто то как то линк нарыл, там доступа к админке не надо,
жизнь бьёт ключом......,ну иногда и гайкой.....
Хаки и Скрипты| Бесплатные шаблоны NGCMS
На Районе - Шахтинск Украшение Windows
Не в сети
файлы были загружены именно сюда /uploads/images/default/ логично что через фтп или другим путем они б загружали в другое место
Далеко не логично. Обычно шеллы загружают туда куда, где администратор будет с меньшей вероятностью искать.
Не в сети
Страницы 1