Strict Standards: Resource ID#18 used as offset, casting to integer (18) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#24 used as offset, casting to integer (24) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#26 used as offset, casting to integer (26) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#27 used as offset, casting to integer (27) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Хостинг от АРБАТЕК - управление сайтом [8]
ТвойWeb ТвойWeb
Качественный Европейский хостинг
Форум для чайников
 Чат на форуме      Помощь      Поиск      Пользователи


 Страниц (10): В начало « ... 2 3 4 5 6 7 [8] 9 10 »   

> Описание: Управление сайтом при помощи cPanel
Cyber-Cat
Отправлено: 30 Августа, 2006 - 01:35:08
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




У меня сайт на Арбатеке.
Сегодня ночью его кто то взломал Недовольство, огорчение
С утра захожу на "главную", там надпись: "hecked by *[тут не помню че]*"
Захожу на форум, там на черном фоне какой то не русский флаг на весь экран Недовольство, огорчение
В техподдержку написал - но пока не ответа не привета.
зашел по FTP, поменял файлы index.php на сайте и на форуме.
Вроде заработало.. Но при заходе на форум, верху надпись: "Secret Service !"
Как ее убрать? Все коды пересмотрел и в скине и в файлах форума - ни где нет этой надписи.. Че за хрень? Помогите..
И еще.. как они могли взломать то? Раз смогли в этот раз, значит и в другой раз ломанут ?
И где гарантии что они туда шелл не залили?
 
 Top
ETC Администратор
Отправлено: 30 Августа, 2006 - 04:21:02
Post Id



Flash-coder


Покинул форум
Сообщений всего: 5275
Дата рег-ции: Дек. 2003  
Откуда: TimeZero

Карма 26




А хостер тут непричём, вероятно дыра или в движке или в форуме.
 
 Top
Cyber-Cat
Отправлено: 30 Августа, 2006 - 06:14:42
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




А надписть "Secret Service!" как убрать?
Ее нет ни где Недовольство, огорчение Ни в одном файле.. я все перерыл..
Как она может формироваться? Че капать? Где?
 
 Top
ETC Администратор
Отправлено: 30 Августа, 2006 - 06:35:12
Post Id



Flash-coder


Покинул форум
Сообщений всего: 5275
Дата рег-ции: Дек. 2003  
Откуда: TimeZero

Карма 26




в index.php, lib.php, common.php
 
 Top
Cyber-Cat
Отправлено: 30 Августа, 2006 - 07:09:53
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




ETC Нифина! Не в этих файла..
Но я тут раскопал кое что..
Нашел аж 2 шела в одной из папок форума!
Сейчас читаю логи..
Форум был взломан с IP 88.226.157.118 и IP 88.224.203.139 (турецкие)
Через один из модулей форума - был залит шел. А именно через: /modules/userstop/
Это похоже новая уязвимост.. Причем юзер даже не регился на форуме похоже..

Жаль нет Маркуса.. Кто нибудь еще в php кодах разбирается?
Помогите закрыть дыру.. Логи вышлю лично на мыло, тому кто возмется мне помочь..
А то там все команды хакера в открытом виде.. выкладывать не буду - а то все кому не лень начнут меня хакать..
 
 Top
DrNets
Отправлено: 30 Августа, 2006 - 13:53:29
Post Id



Full Member


Покинул форум
Сообщений всего: 153
Дата рег-ции: Авг. 2004  
Откуда: Казахстан

Карма -1






какой именно двиг форума ExBB стоял? тут вот новость малоприятная... не для всех конечно
http://www.securitylab.ru/vulnerability/273062.php
 
 Top
Cyber-Cat
Отправлено: 30 Августа, 2006 - 13:56:54
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




DrNets
Да да. Именно таким способом и ломанули. Через этот модуль.

Помогите кто нидь решить проблему.
 
 Top
Cyber-Cat
Отправлено: 30 Августа, 2006 - 21:19:49
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




В общем эти роды, сегодня опять залили шел мне.
Я во время успел.. спецально в 2 часа ночи встал, зашел по FTP, смотрю лежит r57.php или ahmed.php - я их тут же удалил.
Затем отключил мод (через админку), и закоментировал 2 строчке в файле о котором говорится тут:
http://www.securitylab.ru/vulner...ource/273061.php

Посмотрел по реферам, эти турки пришли через поисковики по запросу "Powered by ExBB 1.9.1"

Так же пришлось переделать копирайт.. так что это вынужденная мена.. не пинаете особо.. Улыбка

Пока тьфу тьфу больше ничего не заливали.
 
 Top
Cyber-Cat
Отправлено: 31 Августа, 2006 - 10:39:29
Post Id



Advanced Member


Покинул форум
Сообщений всего: 434
Дата рег-ции: Март 2005  
Откуда: From CyberLand

Карма 0




Закрывайте эту дыру у кого она есть.
Открываем файл: userstop.php
Ищем
CODE:

include('/home/vufaley/public_html/forum/modules/userstop/data/userstop_conf.php');
include('/home/vufaley/public_html/forum/modules/userstop/language/'.$exbb['default_lang'].'/lang.php');


и выше него вставляем:
CODE:

$exbb['home_path'] = str_replace('//',"", $exbb['home_path']);
$exbb['home_path'] = str_replace('http://',"", $exbb['home_path']);
$exbb['home_path'] = str_replace('www.',"", $exbb['home_path']);


Спасибо sspy с канала #php IRC сети dalnet.ru - помог!
 
 Top
ETC Администратор
Отправлено: 31 Августа, 2006 - 10:59:15
Post Id



Flash-coder


Покинул форум
Сообщений всего: 5275
Дата рег-ции: Дек. 2003  
Откуда: TimeZero

Карма 26




Что-то мне кажется, что это из той же оперы:
http://tvoyweb.ru/forums/topic.p...ge=10#1155460535
 
 Top
Страниц (10): В начало « ... 2 3 4 5 6 7 [8] 9 10 »
Сейчас эту тему просматривают: 15 (гостей: 15, зарегистрированных: 0, скрытых: 0)
« Хостинг »


Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 



Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0417]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33