| |
|
|
| | У меня на сайте подменили .htaccess
Расскажите пожалуйста, через какую уязвимость это возможно сделать? Где искать дырку? | |
| |
|
|
| |
|
|
| |
для: gofree
(30.12.2011 в 06:42)
| | | Простите если не туда создал. Нашел тему, буду искать троян, но техподдержка мне сказала, что подмена была через уязвимость моего сайта, возможно такое? Или все таки это было через фтп доступ? | |
| |
|
|
| |
|
|
| |
для: gOFREe
(30.12.2011 в 07:17)
| | | Да такое возможно. У вас файлы на сервер нигде не загружаются (особенно пользователями, фотографии, ролики или еще что-то в этом духе)?
PS Если тех.поддержка сказала про уязвимость, пусть укажут через какую. Если они видят это в логах, разумно, чтобы они и с вами этой информацией поделились. | |
| |
|
|
| |
|
|
| |
для: cheops
(30.12.2011 в 12:38)
| | | Это произошло на нескольких сайтах одновременно, но нигде нет формы для загрузки файлов.
p.s. жду логи | |
| |
|
|
| |
|
|
| |
для: gOFREe
(30.12.2011 в 13:02)
| | | FTP-логи тоже запросите. | |
| |
|
|
| |
|
|
| |
для: cheops
(30.12.2011 в 13:07)
| | | на просьбу указать мне на уязвимость поступил такой ответ
Уязвимость предполагается по косвенным признакам, поскольку подмена не производилась ни через ftp, ни через ssh. Для обнаружения уязвимости необходимо проанализировать логи доступа по всем сайтам площадки, скорее всего где-нибудь обнаружится вебшелл, который обычно прячут во вложеннных директориях и который может иметь любое имя.
жду логи дальше ) | |
| |
|
|
| |
|
|
| |
для: gOFREe
(30.12.2011 в 13:28)
| | | По FTP могли забросить скрипт, который осуществлял замену... тут действительно все нужно анализировать. Такие выводы лучше вам делать (кто понимает логику работы приложения), а не им. | |
| |
|
|
| |
|
|
| |
для: cheops
(30.12.2011 в 14:15)
| | | Пробежался по фтп, ничего лишнего не нашел... возможно плохо искал, а разве мог один скрипт на фтп заменить файлы на большинства сайтах?
На одном фтп 9 сайтов, в 5 из них был заменен файл, остальные не тронуты. Почему так? | |
| |
|
|
| |
|
|
| |
для: gOFREe
(30.12.2011 в 15:21)
| | | Можно для начала просто подсчитать общее количество файлов на сервере и сравнить с тем количеством, которое Вы туда закачали (если файлы не создаются пользователями). Не появился ли хотя бы один лишний файл?
Можно поразмышлять и над тем, какие именно изменения злоумышленники произвели в .htaccess - хотя бы косвенно, но их замысел тут должен проявиться.
Пароль к акаунту сменить незамедлительно, и к менеджеру файлов.
Кстати, от некоторых менеджеров файлов не так сложно узнать (украсть) пароли. | |
| |
|
|
| |
|
|
| |
для: Владимир55
(30.12.2011 в 19:23)
| | | Файл нашел! Только это был не лишний файл на фтп, это был мой файл с моим названием, но с измененным содержанием. Комментарий вверху файла # Web Shell by oRb. Всем спасибо!
Кстате, мне помог фильтр по дате изменения файлов )) | |
| |
|
|
| |
|
|
| |
для: gOFREe
(30.12.2011 в 13:28)
| | | По-моему, это в переводе значит «мы не нашли уязвимостей у себя, ищите сами»=) | |
| |
|
|
