Просмотр темы
Взлом
|
|
andy_ger |
Опубликовано 04.12.2015 08:08
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
Привет всем. Появилась проблема - на сайте появилось около 30 левых "дополнительных страниц" (с адресами вида имя_сайта/viewpage.php?page_id=25). Страницы содержат текст на польском языке. Естественно, непосредственно с сайта этих страниц не видно, т.к. ссылок на них нет, но по прямой ссылке они открываются. Что не радует. Это произошло пару месяцев назад, удалил страницы, поменял все пароли. Сегодня повторилось. config.php в 644, setup.php удален, пароли FTP и БД разные и сложные, возможность присоединять файлы на форуме с расширениями отсутствует (как и сам форум). Что можно предпринять? |
|
|
Deorchik |
Опубликовано 04.12.2015 08:20
|
Опытный пользователь Сообщений: 283 Зарегистрирован: 27.12.2012 10:30 |
1 - эти страницы(файлы) созданы в ручную те имеют само название уже - viewpage.php?page_id=25 . ? 2 - или они как то помечены в БД? |
|
|
andy_ger |
Опубликовано 04.12.2015 08:34
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
Deorchik написал: 1 - эти страницы(файлы) созданы в ручную те имеют само название уже - viewpage.php?page_id=25 . ? 2 - или они как то помечены в БД? Эти файлы, так же, как и созданные мной, являются записями в БД. То есть id=25 это UIN в БД MySql . Соответственно, удалил я их штатными средствами PHP-Fusion, через админку. Да, забыл указать версию - 7.02 . |
|
|
Alex |
Опубликовано 04.12.2015 09:12
|
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05 |
andy_ger, проверь сайт айболитом, и обновись до версии 7,02,07 такой взлом уже давно был |
|
|
Deorchik |
Опубликовано 04.12.2015 11:24
|
Опытный пользователь Сообщений: 283 Зарегистрирован: 27.12.2012 10:30 |
Вот мне интересно в 7/02/07 есть ещё Баги которые могут угражать безопасности ...? |
|
|
Rush |
Опубликовано 07.12.2015 09:45
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
поковыряй access логи nginx'a или apache, ну или выложи
|
|
|
andy_ger |
Опубликовано 07.12.2015 10:33
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
логи посмотрел. ничего не заметил, кроме того, что есть обращения к этим левым страницам. существует возможность закрыть от просмотра страницы с номером, большим заданного? чтобы viewpage.php?page_id=1..viewpage.php?page_id=25 были доступны, аviewpage.php?page_id=26 и выше - нет |
|
|
Rush |
Опубликовано 07.12.2015 10:46
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
странно, в логах в любом случаем должно что-то быть
|
|
|
andy_ger |
Опубликовано 07.12.2015 10:57
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
там много чего есть ) ну вот например 5.61.33.125 - - [01/Dec/2015:12:40:16 +0300] "GET /wp-login.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 5.61.33.125 - - [01/Dec/2015:12:40:16 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 5.61.33.125 - - [01/Dec/2015:12:40:19 +0300] "GET /administrator/index.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 5.61.33.125 - - [01/Dec/2015:12:40:19 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 5.61.33.125 - - [01/Dec/2015:12:40:23 +0300] "GET /admin.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 5.61.33.125 - - [01/Dec/2015:12:40:23 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" Объединено 07.12.2015 12:06: вроде нашел. видимо, вот оно: 23.106.162.120 - - [24/Nov/2015:03:06:46 +0300] "POST /administration/custom_pages.php?aid=3f2c54a9f7c08f85 HTTP/1.0" 200 949 "-" "-" Изменил(а) andy_ger, 07.12.2015 12:06 |
|
|
Polarfox |
Опубликовано 07.12.2015 18:00
|
Администратор Разработчики Группа поддержки Сообщений: 3384 Зарегистрирован: 20.08.2010 14:03 |
посмотри админов новых например
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
|
|
|
andy_ger |
Опубликовано 08.12.2015 03:30
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
это я сразу сделал. новых админов нет, пользователей нет. |
|
|
Polarfox |
Опубликовано 09.12.2015 14:52
|
Администратор Разработчики Группа поддержки Сообщений: 3384 Зарегистрирован: 20.08.2010 14:03 |
убери все "3ей вечеринки" с сайта, все полностью удали, далее перезагрузи обратно все скрипты дефолтные. бд желательно тоже проверить. Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
|
|
|
andy_ger |
Опубликовано 09.12.2015 15:06
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
PolarFox написал: убери все "3ей вечеринки" с сайта, все полностью удали, далее перезагрузи обратно все скрипты дефолтные. бд желательно тоже проверить. В БД левые записи были только в custom_pages, их удалил. "3ей вечеринки" - это что ? |
|
|
Polarfox |
Опубликовано 09.12.2015 17:25
|
Администратор Разработчики Группа поддержки Сообщений: 3384 Зарегистрирован: 20.08.2010 14:03 |
3rd-party, сторонние вот неясно что в кастом пажес было, может что интересное. ну да бэкап надеюсь есть и был? Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
|
|
|
andy_ger |
Опубликовано 09.12.2015 18:15
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
PolarFox написал: 3rd-party, сторонние вот неясно что в кастом пажес было, может что интересное. ну да бэкап надеюсь есть и был? изначально у меня был десяток custom pages. после этого непрошенного вмешательства появилось еще несколько, на польском языке. всякая реклама и все такое. бекап всегда есть, я достаточно часто его делаю, на случай если надо будет отъехать на 1-2-3... шага. сейчас я просто отрубил возможность добавления custom pages |
|
|
Pisatel |
Опубликовано 10.12.2015 05:41
|
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51 |
Подобное было в 7.02.05, в 7.02.07 устранили. существует возможность закрыть от просмотра страницы с номером, большим заданного? if (isset($_GET['page_id']) && isnum($_GET['page_id']) && $_GET['page_id'] > 25) { die("Access denied"); } Переполз на WP, но PF - это как первая любовь, которая не забывается...
|
|
|
andy_ger |
Опубликовано 10.12.2015 09:19
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
Pisatel написал: Подобное было в 7.02.05, в 7.02.07 устранили. существует возможность закрыть от просмотра страницы с номером, большим заданного? можно, но это не избавляет от грязи в БД. Я закрыл возможность записи таких страниц: файл administration/custom_pages.php заменил пустым <?php ?>. Разумеется, при таком варианте редактировать существующие кастомные страницы тоже невозможно. Меня это устраивает, изменения в них делаю крайне редко. |
|
|
Pisatel |
Опубликовано 10.12.2015 14:05
|
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51 |
Обновись до 7.02.07. Это ж дыра, понимаешь? Или изучай логи, ищи и закрывай.
Переполз на WP, но PF - это как первая любовь, которая не забывается...
|
|
|
andy_ger |
Опубликовано 10.12.2015 16:02
|
Начинающий Сообщений: 20 Зарегистрирован: 15.01.2015 12:01 |
Понимаю, конечно. Пока заткнул дыру, в НГ праздники обновлюсь. |
|
Поделиться этой темой | |
Социальные закладки: | |
URL: | |
BBcode: | |
HTML: |
Перейти на форум: |