Кажется взломали – помогите проверить

(Ответов: 18, Просмотров: 2418)
Страница 1 из 2 12 Последняя
  1. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,884
    • Репутация: 2594
    • Webmoney BL: ?
    Сегодня открыл свой сайт, и бац – ВК меседжер вылазит, которого я не ставил.
    Из ПП использую только проверенные – контекст и ледикеш.

    В исходном коде нашел сторонний скрипт
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

    Он это ВК меседжер и выводил, (как я думаю, ну, по любому, он левый, я такой не ставил).
    В индексном файле шаблона, нашел такой код
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

    Который и выводил скрипт, (по крайней мере, после его удаления, скрипт исчез)
    Но, эта какашка показывается один раз на один ИП, поэтому не уверен, и прошу пройти оп ссылке _http://restorator.name и посмотреть, действительно ли, этой гадости больше нет.
    И интересует, каким способом внедрили?
    Меседжер отправлял на эту страницу
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
    Последний раз редактировалось 13й; 29.01.2013 в 04:33.
    • 0
  2. Sapienti sat Аватар для brainix
    • Регистрация: 01.01.2013
    • Сообщений: 1,925
    • Записей в дневнике: 1
    • Репутация: 817
    • Webmoney BL: ?
    По ссылке перешел, ничего не всплыло.
    Традиционно же как вирусы попадают - либо через фтп, либо на хостинге дыры. Еще экзотический вариант - права на изменение файла или каталога если были неверно поставлены.
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  3. Особый статус :) Аватар для Talismanchik
    • Регистрация: 07.02.2012
    • Сообщений: 587
    • Репутация: 755
    • Webmoney BL: ?
    Цитата Сообщение от genjnat Посмотреть сообщение
    прошу пройти оп ссылке _http://restorator.name и посмотреть, действительно ли, этой гадости больше нет.
    genjnat, у меня ничего левого и точнее вк не появилось.
    Нужна консультация эндокринолога и ангиохирурга. Linkum
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  4. Super Moderator Аватар для TbIKBA
    • Регистрация: 04.08.2011
    • Сообщений: 2,002
    • Репутация: 1574
    • Webmoney BL: ?
    Добрый день, коллега. С моего IP ВК-месседжера нет, из рекламы присутствует тизерка справа и Adsense слева
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  5. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,884
    • Репутация: 2594
    • Webmoney BL: ?
    Ну, логины/пароли, я поменял конечно. Просто, если это массовое явление, то может и способ внедрения однотипный? Если так, то эту дырку и заткнуть бы, в первую очередь.
    • 0
  6. Adio Аватар для Adiofilms
    • Регистрация: 05.09.2012
    • Сообщений: 1,512
    • Репутация: 1120
    • Webmoney BL: ?
    Цитата Сообщение от genjnat Посмотреть сообщение
    и прошу пройти оп ссылке _http://restorator.name и посмотреть, действительно ли, этой гадости больше нет.
    Зашел с 4 браузеров, все чисто, для надежности еще через Tor глянул-также чистота.


    Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1222 сообщение(ий)):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  7. Гуру Аватар для Odhost
    • Регистрация: 03.06.2012
    • Сообщений: 1,781
    • Записей в дневнике: 2
    • Репутация: 1137
    • Webmoney BL: ?
    Прошёлся по сайту никаких окон и т.п.
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  8. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,884
    • Репутация: 2594
    • Webmoney BL: ?
    не, не думаю
    Ерунда эта только сегодня появилась. Да и не так страшен это меседжер.
    Сам факт, что кто-то в сайт залез, это да, неприятно.
    Еще вопрос, по этому коду
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

    После его удаления, скрипт исчес, но ведь данная функция его откуда то его подгружала. Как выяснить от куда?
    Последний раз редактировалось 13й; 29.01.2013 в 04:33.
    • 0
  9. Sunshine reggae Аватар для OKyJIucT
    • Регистрация: 02.09.2011
    • Сообщений: 3,240
    • Репутация: 1830
    • Webmoney BL: ?
    Не всплыло ничего подозрительного. А что касается взлома, то буквально пару дней назад читал статью, написана она для DLE, но описанный способ подойдет для любого движка.
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

    Создаете файл .htaccess с указанным содержимым в папках, где права на запись имеются. Чтобы даже если злодей и залил в них скрипт, выполнить его не смог. Может, поможет:)
    Хотя я не знаю, как устроены шаблоны в Joomla, может там php файлы лежат, тогда этот способ не катит
    • 3

    Спасибо сказали:

    13й(29.01.2013), genjnat(28.01.2013), Odhost(28.01.2013),
  10. Во все тяжкие Аватар для CuxpecT
    • Регистрация: 14.06.2011
    • Сообщений: 2,325
    • Репутация: 2030
    • Webmoney BL: ?
    мне в качестве защиты на хостинге спецовый файлик создали

    1) .ftpaccess в самом корне с примерно таким содержанием:

    .ftpaccess

    #<Limit All>
    #Allow 212.32.5.0/26
    #Allow 158.152.0.0/16
    #DenyAll
    #</Limit>
    <Limit ALL>
    Allow from 46.254.22.43 #ftpadmin.ihc.ru
    Allow from 87.226.
    Allow from 217.28.79.253
    Deny from all
    </Limit>
    [свернуть]

    пояснение: добавлены две подсети, с которых возможен вход на фтп (с работы и из дома соответственно)

    2) в самое начало .htaccess добавили следующие строчки:

    .htaccess


    <Files "admin.php">
    AuthType Basic
    AuthName ""
    AuthUserFile /home/p13****/data/.htpasswd
    Require valid-user
    </Files>
    [свернуть]

    пояснение: в файлике .htpasswd лежит логин с паролем того юзверя, которому можно заходить в админку сайта (не зависит от БД). Кому интересно как это выглядит - скрин ниже

    скрин

    Нажмите на изображение для увеличения.  Название:	screen.jpg  Просмотров:	16  Размер:	11.0 Кб  ID:	8023
    [свернуть]
    Последний раз редактировалось CuxpecT; 28.01.2013 в 15:20.
    бох смм
    • 2

    Спасибо сказали:

    b00mer(28.01.2013), genjnat(28.01.2013),
Страница 1 из 2 12 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Помогите, взломали сайт
Консультации по безопасности 16 28.01.2013 11:53
Как вам кажется? Это рерайт?
Вопросы от новичков 17 02.01.2013 15:29
В Я.Каталог попасть не так сложно как кажется?
Вопросы от новичков 10 22.09.2012 19:25
взломали ftp
Прочее 4 02.06.2012 14:18
Продавцы ftp для доров - не кажется ли вам, что они окуели?
Дорвеи и black SEO 55 14.09.2009 20:29

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры