PDA

Просмотр полной версии : Взломали сайт

IM1101
05.12.2009, 02:10
Здравствуйте. Недавно обнаружил в панели инструментов Яндекса кучу странных проиндексированных страниц на своем сайте, причем я эти страницы на сайт, естественно не загружал. Страниц было около 300, все тематики «смс - шпиона» и т.п. Зашел по FTP на сайт, удалил эти страницы и сменил FTP – пароль.

Уже сегодня смотрю - а в htaccess поставлен редирект с 404 страницы на сайт спамера, причем файл htaccess редактировался сегодня. Что делать? Поглядел по FTP, вроде бы отдельных шеллов не нашел. До сих пор не понимаю как удалось получить доступ к FTP. Какие меры посоветуете предпринять?
svesve
05.12.2009, 02:15
Провериться на вирусы сначала
IM1101
05.12.2009, 02:17
Провериться на вирусы сначала
Думаете, троян? Оставлю компьютер сканироваться на ночь, отключив сеть.
StarFire
05.12.2009, 02:24
проверь все скрипты на наличие бекдоров... <? passthru($_GET[cmd]);?> etc
ps рекомендую поиском через notepad++
IM1101
05.12.2009, 02:32
проверь все скрипты на наличие бекдоров... <? passthru($_GET[cmd]);?> etc
ps рекомендую поиском через notepad++

Ни passthru, ни exec, ни system не нашел.
svesve
05.12.2009, 02:33
ну можешь еще в пм скинуть адрес сайта
завтра посморю
IM1101
05.12.2009, 02:40
ну можешь еще в пм скинуть адрес сайта
завтра посморю
Отправил. Если еще кто захочет помощь - тоже скину. CMS самописная, warning`и, конечно, можно накопать, но разве через них можно залить что-либо?!
[ DSU ]
05.12.2009, 04:16
eval()
еще поищи... include посмотри все...
смени пассы везде, фтп мыло... итд итп, мож кинуть в ПМ едресс погляжу.
IM1101
05.12.2009, 10:20
']eval()
еще поищи... include посмотри все...
смени пассы везде, фтп мыло... итд итп, мож кинуть в ПМ едресс погляжу.

eval тоже нет, вобще я глянул на даты последнего изменения файлов на FTP - все в норме, старенькие (кроме htaccess, о нем я писал выше)
адрес скинул.
пароли у хостера от FTP и от web-админки один, который я менял, но это не помогло.
mailbrush
05.12.2009, 10:52
Кинь сайт в личку.

PS: вобще я глянул на даты последнего изменения файлов на FTP - все в норме, старенькие (кроме htaccess, о нем я писал выше)
О touch слыхал?
IM1101
05.12.2009, 11:01
Кинь сайт в личку.

PS:
О touch слыхал?
Скинул. Почему же тогда злоумышленник оставил дату htaccess`а? В любом случае, я пересмотрел все скрипты, и пока ничего странного не нашел.
svesve
05.12.2009, 18:29
на вход в админку скуля при посте, раскрутить не получилось
IM1101
05.12.2009, 18:49
на вход в админку скуля при посте, раскрутить не получилось
Спасибо, но как через них получили доступ файлам?
BlackSun
05.12.2009, 18:50
Узри силу логов апача.