С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
 Добавлено: 28/02/11 в 13:44 |
на всех сайтах одного хостинга появилась страничка с музыкой и надписями MeGo 0wnz u
Oh Bad security , Nothing still ;)
No Porn Sry 
#M3GO@H311 ~ EG5-@hotmail.com
#~ From EgYpT ~ Gr33ts to all Egyptians Hackers !~~
Specail Gr33ts To Dr.Silnt HilL , Mr.Alsa3ek , God Father , Mo7a , My Keyboard
На всех сайтах заменён или изменён index файл..если его исправить то все начинает работать..Больше всего меня интересует КАК они взломали мой хост?? и как защититься в будущем. Всем за ранее спасибо!!)))
|
|
|
|
| |
С нами с 09.03.09
Сообщения: 6053
Рейтинг: 3538
 
|
| Добавлено: 28/02/11 в 13:49 |
Так а софт какой на сервере?
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
| Добавлено: 28/02/11 в 13:56 |
только WordPress
|
|
|
|
| |
С нами с 07.10.01
Сообщения: 4835
Рейтинг: 3672
|
| Добавлено: 28/02/11 в 13:59 |
Через дырки в скриптах, как правило. Либо пароль подбирают. Заливают шелл, а дальше - что угодно. Мне стёрли всю инфу как-то со всех доменов (на виртуале дело было), хорошо что хостер бекапы делает ежедневные.
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
|
| Добавлено: 28/02/11 в 14:07 |
WordPress последний был?
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
| Добавлено: 28/02/11 в 14:14 |
Несколько блогов были на последнем, а в основном 3.0
|
|
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
|
| Добавлено: 28/02/11 в 14:16 |
| warik писал: | на всех сайтах одного хостинга появилась страничка с музыкой и надписями MeGo 0wnz u
Oh Bad security , Nothing still ;)
|
не обязательно через скрипты типа вордпресс, скорее всего через софт на сервере, иначе бы поломали 30% сайтов в инете, ну или через плагин дырявый
|
|
|
|
| |
С нами с 03.02.11
Сообщения: 842
Рейтинг: 301
|
| Добавлено: 28/02/11 в 14:21 |
чаще не сам вордпресс ломают, а его плагины. какие-то календари и прочая лабуда...
поищи в логах аномальные union select, =хттп://, кавычки, и вообще ненормального вида строки логов аля "./../..". вообщем, ищи дырку...
или если сбрутили - найдешь кучу попыток логинов...
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
| Добавлено: 28/02/11 в 14:52 |
Как Найти шел файл??
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
| Добавлено: 28/02/11 в 15:01 |
не на всех блогах были заменены индексы, но ещё заменили индексы статичных сайтов..
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 28/02/11 в 15:52 |
Если у тебя остался нетронутый хоть один хакнутый файл, сделай stat file.php и покажи че напишет. Много чего сказать можно будет.
шеллы искать можно (если только .php файлы обрабатываются как php) следующей командой:
find /path/to/domains -type f -name '*.php' -exec egrep -q '\W(eval|exec|system|popen)\W' -print
/path/to/domains - путь к домену (доменам)
Но это только список подозрительных файлов. Например у вордпресса, как и у большинства веб-скриптов, вряд ли будут файлы с такими системными вызовами.
Часто хацкеры при разрешенных .htaccess проделывают фишку. Кладут шел в какой нибудь empty.gif и объявляют в .htaccess
Addtype application/x-httpd-php .gif
Такие "странные" .htaccess можно найти командой
find /path/to/domains -type f -name '.htaccess' -exec grep -i -q 'x-httpd-php' -print
Если будут и они не ваши, ищите сюрпризы в этих папках.
Но опять же, это не решает вопрос откуда хакеры проникли.
Директадмин то стоит? phpmyadmin? proftpd? Еще какая ересь? Версия ядра (uname -a)?
|
|
|
|
| |
С нами с 06.03.04
Сообщения: 5352
Рейтинг: 1678
|
| Добавлено: 28/02/11 в 16:22 |
|
|
|
|
| |
