Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Портал > Безопасность

Ответ
 
Опции темы Опции просмотра
Michael-XIII вне форума Michael-XIII
Стар я для всего этого

Аватар для Michael-XIII

| Цитировать Старый #1 02-20-2006, 12:41

Хостер прикрыл аккаунт из-за спамерской рассылки.

Рассылка шла на бразильские адреса, раньше неделей они прощупывали на предмет Bug fix 10022006-2 (эксплоит shitzu). Обломались ибо он стоял, так же как и Bug fix 14022006-3.

На аккаунте два сайта, стоят 1.2 с фиксами на одном xgallery ( знаю, знаю руки не дошли убрать ) на втором она же была, но уже не активна (в процессе миграции)

Народ, PLZ, помогите понять через что сломали - через xgallery или тот баг, котороый закрыли 18 (Bug fix 18022006-4 с SQL-inject)

Просмотрел логи, но криминала не увидел

Ориентировочный срок - 19 числа в 2.04 ночи хостер прикрыл меня из-за 2000 писем в почтовом пуле. Соответственно наверно где-то с 23 часов 18-го нужно смотреть. есть пара дней раньше

---
Немного позже.

В корне mvp.txt со строчкой
Hacked By SinChan & K-159 #MvP @DALnet

а также скрипт dbblogin.php с PhpShell

В логах эти файлы не фигурируют, так что скорей всего залит давно, а хранится лог за последних два дня

Последний раз редактировалось Michael-XIII, 02-22-2006 в 13:45


"А почему в RunCMS глючит ... ?"
"Глупые винят других. Умные – себя. А мудрые идут вперед". (С)
Посетить домашнюю страницу Michael-XIII
  Сообщения: 1,313 c 18.07.2005 | Репутация: 93
westex вне форума westex
Младший участник

Аватар для westex

| Цитировать Старый #2 02-22-2006, 00:32

20 минут убил на чтение логов. Конечно не все просмотрел. Но действительно ничего подозрительного не нашел.
Кстати почему ты решил что именно нужно смотреть 18 числа 23 часа? Может скрипты они залили намного раньше (в прочем как ты подумал) и открыли веб шелл. Ну а 18-19 числа зашли через шелл и запустили спам. Так что искать логи нужно раньше.


Сайт, каких много
  Сообщения: 48 c 06.02.2005 | Репутация: 1
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #3 02-22-2006, 07:41

Действительно, наверное надо за дня три просматривать...


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Vinni вне форума Vinni
Участник


| Цитировать Старый #4 02-22-2006, 09:14

У меня тоже подозриельная ситуация. На некоторые почтовые ящики не могу отправить письма. Приходит возврат из-за того, что адрес входит в blacklist. Причем это все почтовые ящики с разных доменов, но на одном хостинге. Выходит я теперь спаммер!? Файлов подозрительных не видел. Народ посоветуйте как что проверить

  Сообщения: 159 c 04.07.2005 | Репутация: 1
Michael-XIII вне форума Michael-XIII
Стар я для всего этого

Аватар для Michael-XIII

| Цитировать Старый #5 02-22-2006, 10:51

Возможно просто твой провайдер не отследил рассылку, как мой.

Часть вторая - снова рассылка, снова из бразилии (где много-много диких хакерских обезьян), снова отрублен аккаунт

Левых файлов теперь не видно

Изучаю логи за последниее три дня после включения

Последний раз редактировалось Michael-XIII, 02-22-2006 в 13:45


"А почему в RunCMS глючит ... ?"
"Глупые винят других. Умные – себя. А мудрые идут вперед". (С)
Посетить домашнюю страницу Michael-XIII
  Сообщения: 1,313 c 18.07.2005 | Репутация: 93
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #6 02-22-2006, 12:55

Второй лог пока смотреть не стал, а в первом ищи строки с IP 24.65.216.20 и 201.9.20.15.


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Michael-XIII вне форума Michael-XIII
Стар я для всего этого

Аватар для Michael-XIII

| Цитировать Старый #7 02-22-2006, 12:59

Все, нашел, спасибо!

Итог - не забывайте обновляться

запрашивали mvp.txt

Цитата:
Кстати почему ты решил что именно нужно смотреть 18 числа 23 часа? Может скрипты они залили намного раньше (в прочем как ты подумал) и открыли веб шелл. Ну а 18-19 числа зашли через шелл и запустили спам. Так что искать логи нужно раньше.
Да, согласен... файлы в первый раз они залили 11 февраля, логов за то время нет

Последний раз редактировалось Michael-XIII, 02-22-2006 в 13:16


"А почему в RunCMS глючит ... ?"
"Глупые винят других. Умные – себя. А мудрые идут вперед". (С)
Посетить домашнюю страницу Michael-XIII
  Сообщения: 1,313 c 18.07.2005 | Репутация: 93
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #8 02-22-2006, 18:27

Michael-XIII Итог?
Как проникли?


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Michael-XIII вне форума Michael-XIII
Стар я для всего этого

Аватар для Michael-XIII

| Цитировать Старый #9 02-22-2006, 18:46

проверка bbPath в одной из старых версий форума. Забыл обновить на одном сайте


"А почему в RunCMS глючит ... ?"
"Глупые винят других. Умные – себя. А мудрые идут вперед". (С)
Посетить домашнюю страницу Michael-XIII
  Сообщения: 1,313 c 18.07.2005 | Репутация: 93
Jurastik вне форума Jurastik
Старший участник

Аватар для Jurastik

| Цитировать Старый #10 02-22-2006, 22:51

я же предупреждал


LaMeRs MuSt DiE
Посетить домашнюю страницу Jurastik
  Сообщения: 539 c 29.01.2005 | Репутация: 10
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 81.48 Kb. compressed to 74.24 Kb. by saving 7.23 Kb. (8.88%)
Page generated in 0.08510 seconds with 10 queries