Мой форум похоже взломали.
Меня стерли как админа, и под админом значится какой-то тип fedorovychperson!
Естественно я файл 1.php стер. И заменил на свой бекапный. Но все равно меня не пускают на форум.
Самое интересное, что этот fedorovychperson! оставил в профиле и мейл и свой сайт! Какой хакер это делает? fedorovych@promotion-soft.com
Форум по фтп я закрыл. И папку мемберс на всякий случай спрятал.
Завел новую пустую.
Что интересно: другой тип (тоже недавно зарегистрировавшийся) подсвечивался в строке "он-лайн" как модератор (зеленым цветом), но его ник не был прописан ни в одном разделе как модератор.
Вот такая фигня.
Не знаю , что и думать толи хакнули, толи глюк форума.
1. Otujk - 14 Февраля, 2006 - 11:50:25 - перейти к сообщению
2. Fatal - 14 Февраля, 2006 - 12:49:46 - перейти к сообщению
Otujk
Хм, у меня тоже этот юзер зареген, ничего не пишет, а зарегился недели две назад, может не получилось сломать (я с правами долго колдовал
).
Хм, у меня тоже этот юзер зареген, ничего не пишет, а зарегился недели две назад, может не получилось сломать (я с правами долго колдовал
).
3. Валерий - 14 Февраля, 2006 - 14:47:29 - перейти к сообщению
Fatal
Otujk
Аналггично - заригился и был удален мной.
Я зашел на его страницу - страница долго была белой, после чего я ее закрыл.
Мне тут подсказали простой хакерский прием: создаешь страницу. на странице - скрипт. Если щелкнуть по странице в определенном месте (или в любом, если сделают) скрипт скачает куки с твоего компа.
Вот и получил хакер доступ.
Вывод: не щелкать (а лучше и не открывать) незнакомые страницы.
Otujk, убери ссылку на этот сайт.
Если ты исправил 1.рнр - этого мало. Ведь есть еще файл а папке data - esers.php. Вот там нужно тоже найти себя.
Лучше через FTP сделай любого юзера админом (посмотри там его пароль, ник, исправь статус на "ad". Зайди. А вот теперь запихивай себя самого и ПЕРЕСЧИТАЙ юзеров.
ну и дальше.
Otujk
Аналггично - заригился и был удален мной.
Я зашел на его страницу - страница долго была белой, после чего я ее закрыл.
Мне тут подсказали простой хакерский прием: создаешь страницу. на странице - скрипт. Если щелкнуть по странице в определенном месте (или в любом, если сделают) скрипт скачает куки с твоего компа.
Вот и получил хакер доступ.
Вывод: не щелкать (а лучше и не открывать) незнакомые страницы.
Otujk, убери ссылку на этот сайт.
Если ты исправил 1.рнр - этого мало. Ведь есть еще файл а папке data - esers.php. Вот там нужно тоже найти себя.
Лучше через FTP сделай любого юзера админом (посмотри там его пароль, ник, исправь статус на "ad". Зайди. А вот теперь запихивай себя самого и ПЕРЕСЧИТАЙ юзеров.
ну и дальше.
4. Анна - 14 Февраля, 2006 - 17:52:15 - перейти к сообщению
Otujk
Валерий
Проверяйте - сделано это?
http://tvoyweb.ru/forums/topic.p...ge=10#1131319692
Плюс это:
http://tvoyweb.ru/forums/topic.p...ge=10#1129418421
Для справки:
http://tvoyweb.ru/forums/profile...&member=1528
и?
Валерий, ну, сделай
И дай мне ссылку.
Валерий
Проверяйте - сделано это?
http://tvoyweb.ru/forums/topic.p...ge=10#1131319692
Плюс это:
http://tvoyweb.ru/forums/topic.p...ge=10#1129418421
Для справки:
http://tvoyweb.ru/forums/profile...&member=1528
и?
Валерий, ну, сделай
И дай мне ссылку.
5. Анна - 14 Февраля, 2006 - 17:54:35 - перейти к сообщению
Otujk
Насчет ликвидации последствий - Валерий правильно сказал. Но еще проверь права на все файлы и папки - выстави нужные, в соответствии с рекомендациями хостера.
Проверь также, нет ли в директорях лишних файлов, возможно, тебе шелл залили.
Насчет ликвидации последствий - Валерий правильно сказал. Но еще проверь права на все файлы и папки - выстави нужные, в соответствии с рекомендациями хостера.
Проверь также, нет ли в директорях лишних файлов, возможно, тебе шелл залили.
6. Otujk - 15 Февраля, 2006 - 13:29:03 - перейти к сообщению
Валерий, Анна, спасибо - будем восстанавливать.
Анна, я следил за всеми обновлениями.
а вот лишний файл вроде нашел.
В папке мемберс был 0.php
Я его удалил сразу - не посмотрев, что там.
Анна, я следил за всеми обновлениями.
а вот лишний файл вроде нашел.
В папке мемберс был 0.php
Я его удалил сразу - не посмотрев, что там.
7. Анна - 15 Февраля, 2006 - 15:31:05 - перейти к сообщению
Otujk
Очень плохо. Теперь мы не узнаем, что именно это было.
В следующий раз все подозрительные ссылки, файлы или надписи тащи сюда.
Очень плохо. Теперь мы не узнаем, что именно это было.
В следующий раз все подозрительные ссылки, файлы или надписи тащи сюда.
8. Voyager - 16 Февраля, 2006 - 00:23:01 - перейти к сообщению
Опа, он у меня тоже зарегился, удаляю.
Банить fedorovychperson без разговоров.
Банить fedorovychperson без разговоров.
9. Валерий - 16 Февраля, 2006 - 01:32:27 - перейти к сообщению
а я думал, такое нужно...
Короче, в папке юзеров файл 0.рнр
вот такой
удалил.
И еще один крайне странный файл в этой же папке? название .рнр расширения нету
Что это и не зря ли я его удалил?
Короче, в папке юзеров файл 0.рнр
вот такой
CODE:
<?die;?>a:6:{s:5:"posts";N;s:6:"posted";a:1:{i:12;N;}s:6:"punned";
a:0:{}s:9:"total_pun";i:0;s:8:"time_pun";i:1133711796;s:6:"new_pm";b:1;}
a:0:{}s:9:"total_pun";i:0;s:8:"time_pun";i:1133711796;s:6:"new_pm";b:1;}
удалил.
И еще один крайне странный файл в этой же папке? название .рнр расширения нету
CODE:
<?die;?>a:7:{s:5:"posts";N;s:6:"posted";a:1:{i:12;N;}s:6:"punned";
a:0:{}s:9:"total_pun";i:0;s:8:"time_pun";i:1133711796;s:6:"new_pm";b:1;s:10:"last_visit";i:1138386822;}
a:0:{}s:9:"total_pun";i:0;s:8:"time_pun";i:1133711796;s:6:"new_pm";b:1;s:10:"last_visit";i:1138386822;}
Что это и не зря ли я его удалил?
10. ETC - 16 Февраля, 2006 - 02:27:05 - перейти к сообщению