Форум PHP

Вопрос как ломали. мож кто понимает каким образом. Вот сайт http://flora-shop.ru/.

Помогите найти дыру мож тут хакеры есть? подскажите как ломали.

Описание сайта сайт работает на файлах

Что сделали

изменили .htaccess
положили на сервер два (я пока только два нащел) PHP скрипта в корень каталога

tool.php

и

99.php (на этот файл каспер сказа что это Backdoor.PHP.C99Shell.a)

>Вопрос как ломали. мож кто понимает каким образом
Нужны логи.

Ищите похожие скрипты при помощи md5(), рекурсивно обходя все директории сайта.

Чистый HTML как не крути не сломаеш...я так у знакомого хакера спросил,он сказал что не обязательно что с вашего сайта залили шелл,вам стоит обратиться к хостеру и поинтересоваться у кого есть дырявый сайт(действительно пусть логи глянет)))

А кто Вам сказал, что там "чистый HTML"?

Хостера в любом случае следует известить, но там не обязательно чистый HTML (возможно имеется система администрирования или HTML-файлам назначен PHP-обработчик).

PS Могли упереть FTP-доступ, в последнее время это очень популярно... поэтому журнальные файлы FTP-доступа тоже следует запросить.

>А кто Вам сказал, что там "чистый HTML"?
Это надо не у меня спрашивать,а у того чей сайт,это моя догадка)

Это надо не у меня спрашивать,а у того чей сайт,это моя догадка)
Вы сказали, у Вас и спросил. К слову, там вероятнее всего как раз PHP. Есть корзина и в HTML-коде есть названия файлов с расширением *.php

Да дижок на PHP, но в хтмл нет названий файлов ссылающишся на .php. Все страница хтмл генерятся через mod Rewrite

Комментарий, но все же: "<!--<a href="customer.php?del">очистить содержимое</a><br><br>-->"

Да смотреть только по логам=))
Или самому полазить поискать дыры=)

забавно...однако)

Вродеб нашел дыру=) Ты где???

тут!!!

асю

в профиле

Комментарий, но все же: "<!--<a href="customer.php?del">очистить содержимое</a><br><br>-->"

эта конструкция отключена

http://search.yahoo.com/search?p=c99rover&ei=UTF-8&xargs=0&pstart=1&b=11

Меня тем же ломали, но как залили этот 99.php пока остается вопросом

если кому интересно

Ответ хостера

Вот логи FTP-доступа: Thu Jan  4 17:03:12 2007 0 12.40.226.228 6777 /home/u22*****/flora-shop.ru/www/.htaccess b _ o r u22**** ftp 0 * c Как видно, файл .htaccess был изменен с IP 12.40.226.228 Вход был произведен под пользователем u22**** Вероятность подбора хоть и есть, но она маловероятна ввиду сложности генерируемых паролей. Одна из наиболее вероятных причин утечки пароля - или через слабый пароль на контактный адрес электронной почты или через уязвимость FTP-клиента (или какого-либо еще Вашего ПО).

И это все что я мог узнать от них

Пароль мог упереть троян на вашей машине... Из FTP-логов следет что кто-то загрузил файл или нет? Вы сами конфигурационный файл .htaccess правили в 17:03 или это сделал злоумышленик?

http://flora-shop.ru/admin/

автор: Temnovit   (09.01.2007 в 16:45)   письмо автору      http://flora-shop.ru/admin/

и что?

Зачем внизу, ссылка на картинке с цветочками при нажатии на которую пишут "Hacker!"?
(Вообще я дал ссылку, чтобы показать, что тут и правда есть админская панель да еще с авторизацией через форму - потенциальный рассадник дыр)

Систему администрирования не стоит хранить в директории с именем /admin - вы на половину облегчаете злоумышленику задачу.

Я не знаю точно, что за скрипт. Но вроде знаком, из бесплатных, а если халява то все возможно.
А как залили... форум есть? там же ipb phpbb и тп.? Если да, то все ясно.

LuxeMate Там html виртуальные.

>>админская панель да еще с авторизацией через форму - потенциальный рассадник дыр

А какой вариант авторизации Вы считаете не дырявым?

Вероятно, через .htaccess и .htpasswd, хотя вовсе не обязательно, что автризация с использованием HTML-форм дырявая... Об этом ничего пока не свидетльствует...