ТвойWeb :: Версия для печати :: Подломили ExBB full-mods или хост?

1. Dida - 19 Июня, 2006 - 07:28:49 - перейти к сообщению

История: сайт на платном хосте users.ru, форум ExBB full-mods.
Сегодня при загрузке форума отображалось "Hacked By SNIPERTEAM". С дуру перезалил системные файлы форума - результат ноль, начал "рыться" Улыбка

и обнаружил в корне форума файл index.htm с выше означенной текстовкой... так вот вопрос, как этот файл попал на хост? Буду признателен за рекомендации... так как все это может повторится.

2. SviMik - 19 Июня, 2006 - 07:47:33 - перейти к сообщению

А может дыра на твоём сайте?

3. Dida - 19 Июня, 2006 - 07:58:48 - перейти к сообщению

Ну, конечно может!... я же не ручками пишу а примитивно Dreamweaver пользую, но сайт не тронут... только форум и только появлением этого файла в корне форума. Ну и так как, было дело, в форуме находились бреши... вот мысля и мелькнула Подмигивание

4. ETC - 19 Июня, 2006 - 08:18:07 - перейти к сообщению

На каком хостинге находится форум?

5. Dida - 19 Июня, 2006 - 08:22:53 - перейти к сообщению

Цитата:

сайт на платном хосте users.ru

http://www.users.ru/

Это не реклама Подмигивание

.... проблемный форум: http://pallada.msk.ru/phorum/

6. nokia6230 - 19 Июня, 2006 - 12:43:56 - перейти к сообщению

Dida, Не, не думаю что в форум дыра где то или на хостинге...
1. Тебе кинули файл с троем и узнали фтп доступ и кинули этот файл.
2. У тебя установлен еще может какой-то движок типа фотогалерее, в котором есть дыры. Кинули шел, залили файл...

7. Леголегс - 19 Июня, 2006 - 15:16:57 - перейти к сообщению

Dida
А логи есть?

8. Dida - 20 Июня, 2006 - 03:09:13 - перейти к сообщению

nokia6230 пишет:

1. Тебе кинули файл с троем и узнали фтп доступ и кинули этот файл.

Мало вероятно... предохраняюсь DrWeb (обновление каждый час), ZoneAlarm Pro + Ad-aware, да и если коды к фтп ушли... логичней подменить стартовую сайта, аи не форума..

nokia6230 пишет:

2. У тебя установлен еще может какой-то движок типа фотогалерее, в котором есть дыры. Кинули шел, залили файл...

Да вроде как нет более ничего... и опять же корень форума...

Цитата:

А логи есть?

Я не специалист... если можно поподробней где взять и что глянуть...

В корне хоста есть логии, посмотрел access.log... там такая мешанина, но обратил внимание, что +/- во время появления файла плотное обращения с турецких IP к форуму (если я конечно, что-то понял), что как-то не по профилю сайта... и заходы с www.zone-h.org , и с http://www.zone-h.org/index.php?...ks&Itemid=45 где рапортуют о взломанных доменах.... меня там вроде нет, но может и из-за того, что все исправил в 15 минут...

Блин... как убрать появление ссылок автоматом...

9. Alone - 20 Июня, 2006 - 03:44:05 - перейти к сообщению

Dida
У меня тоже эта арабская хрень была. Ломанули одну штучку... особо не вникал, просто бекап залил по новой.
В общем это где-то дырка в форуме есть (или же ты так настроила). Это связано с возможностью заливать на сервер файлы через браузер, например картинки или файлы...

10. Dida - 20 Июня, 2006 - 04:34:56 - перейти к сообщению

Alone пишет:

...В общем это где-то дырка в форуме есть (или же ты так настроила). Это связано с возможностью заливать на сервер файлы через браузер, например картинки или файлы...

Эээ, так может надо поискать... это в общих интересах. Я, как "жертва" Подмигивание

, готов поспособствовать...
Мне и бекапить не пришлось Подмигивание

просто удалил index.htm из корня форума и все... не могу сказать, что сильно обеспокоен, но тенденции явно не в пользу ExBB (если это конечно его проблемы).... обидно... форумом пользуюсь уже очень давно.
По настройкам:
Разрешить прикрепление файлов? – ДА
Разрешать зарегистрировавшимся прикреплять файлы к сообщениям... – НЕТ
Как я понял, файлы через браузер заливать может только админ...
Регистрация на форуме обязательна.
Никто "левый" не регистрировался.
С уважением,
Дмитрий.