ТвойWeb :: Версия для печати :: Хостинг от АРБАТЕК

71. Cyber-Cat - 30 Августа, 2006 - 01:35:08 - перейти к сообщению

У меня сайт на Арбатеке.
Сегодня ночью его кто то взломал Недовольство, огорчение

С утра захожу на "главную", там надпись: "hecked by *[тут не помню че]*"
Захожу на форум, там на черном фоне какой то не русский флаг на весь экран Недовольство, огорчение

В техподдержку написал - но пока не ответа не привета.
зашел по FTP, поменял файлы index.php на сайте и на форуме.
Вроде заработало.. Но при заходе на форум, верху надпись: "Secret Service !"
Как ее убрать? Все коды пересмотрел и в скине и в файлах форума - ни где нет этой надписи.. Че за хрень? Помогите..
И еще.. как они могли взломать то? Раз смогли в этот раз, значит и в другой раз ломанут ?
И где гарантии что они туда шелл не залили?

72. ETC - 30 Августа, 2006 - 04:21:02 - перейти к сообщению

А хостер тут непричём, вероятно дыра или в движке или в форуме.

73. Cyber-Cat - 30 Августа, 2006 - 06:14:42 - перейти к сообщению

А надписть "Secret Service!" как убрать?
Ее нет ни где Недовольство, огорчение

Ни в одном файле.. я все перерыл..
Как она может формироваться? Че капать? Где?

74. ETC - 30 Августа, 2006 - 06:35:12 - перейти к сообщению

в index.php, lib.php, common.php

75. Cyber-Cat - 30 Августа, 2006 - 07:09:53 - перейти к сообщению

ETC Нифина! Не в этих файла..
Но я тут раскопал кое что..
Нашел аж 2 шела в одной из папок форума!
Сейчас читаю логи..
Форум был взломан с IP 88.226.157.118 и IP 88.224.203.139 (турецкие)
Через один из модулей форума - был залит шел. А именно через: /modules/userstop/
Это похоже новая уязвимост.. Причем юзер даже не регился на форуме похоже..

Жаль нет Маркуса.. Кто нибудь еще в php кодах разбирается?
Помогите закрыть дыру.. Логи вышлю лично на мыло, тому кто возмется мне помочь..
А то там все команды хакера в открытом виде.. выкладывать не буду - а то все кому не лень начнут меня хакать..

76. DrNets - 30 Августа, 2006 - 13:53:29 - перейти к сообщению

какой именно двиг форума ExBB стоял? тут вот новость малоприятная... не для всех конечно
http://www.securitylab.ru/vulnerability/273062.php

77. Cyber-Cat - 30 Августа, 2006 - 13:56:54 - перейти к сообщению

DrNets
Да да. Именно таким способом и ломанули. Через этот модуль.

Помогите кто нидь решить проблему.

78. Cyber-Cat - 30 Августа, 2006 - 21:19:49 - перейти к сообщению

В общем эти роды, сегодня опять залили шел мне.
Я во время успел.. спецально в 2 часа ночи встал, зашел по FTP, смотрю лежит r57.php или ahmed.php - я их тут же удалил.
Затем отключил мод (через админку), и закоментировал 2 строчке в файле о котором говорится тут:
http://www.securitylab.ru/vulner...ource/273061.php

Посмотрел по реферам, эти турки пришли через поисковики по запросу "Powered by ExBB 1.9.1"

Так же пришлось переделать копирайт.. так что это вынужденная мена.. не пинаете особо.. Улыбка

Пока тьфу тьфу больше ничего не заливали.

79. Cyber-Cat - 31 Августа, 2006 - 10:39:29 - перейти к сообщению

Закрывайте эту дыру у кого она есть.
Открываем файл: userstop.php
Ищем

CODE:

include('/home/vufaley/public_html/forum/modules/userstop/data/userstop_conf.php');
include('/home/vufaley/public_html/forum/modules/userstop/language/'.$exbb['default_lang'].'/lang.php');

и выше него вставляем:

CODE:

$exbb['home_path'] = str_replace('//',"", $exbb['home_path']);
$exbb['home_path'] = str_replace('http://',"", $exbb['home_path']);
$exbb['home_path'] = str_replace('www.',"", $exbb['home_path']);

Спасибо sspy с канала #php IRC сети dalnet.ru - помог!

80. ETC - 31 Августа, 2006 - 10:59:15 - перейти к сообщению

Что-то мне кажется, что это из той же оперы:
http://tvoyweb.ru/forums/topic.p...ge=10#1155460535