Взлом

Блог им. sane001
Произвёлся взлом сайта.
Причин много, а вот как он это сделал непонятно.
Взломщик видимо казахстанец ибо его текст на главной говорит об етом.
Так как я уже стёр все его файлы, остался только текст. Но если загуглить hacked by C37HUN то можно увидить ещё несколько жертв. Дак к чему я, как он залил эти файлы? Через панель управления хостингом нереально =\ и есть ли ещё жертвы на этом сайте? Есть ли грубо говоря ДЫРЫ в движке, потому что не торт каждый раз удалять его файлы. И ещё, как можно узнать остались ли файлы которые не принадлежат движку, в данном случае его файлы.
Спасибо за ответы.

12 комментариев

avatar
Опять залил файлы, если ето пригодиться то сайт трольфэйс.рф/.
Если нужно могу скинуть все файлы присутствующие на главной. index.html и т.д которые он залил.
avatar
Заливка файлов осуществляется через FTP или Панель администратора хостингом, так что не думаю что взломали Ваш сайт, скорее всего подобрали, взломали или нашли ключи от вашего хостинг провайдера.
avatar
А если он успел залить Шелл? как мне вычислить его? просто в предыдущем двиге который я использовал был плагин который вычислял ШЕЛЛ =\
avatar
тут как то модуль/хак выкладывали, добавления полей в профиль, так вот он содержал простейшую xss дыру.
не удивлюсь если ещё в каких то модулях подобное есть.
avatar
А поподробнее об этой дыре и как ее закрыть можно узнать? (можно в личку)
avatar
уже давно пользуюсь такой штукой от dle, по сути это конечно не является антивирусом или надежной зашитой, но помогает быстро находить залитый шелл или измененные файлы
avatar
А что делать когда уже шелл залит? или другой вредоносный файл? потомучто от фтп, хостинга и т.д не как не узнать пароль подбором. Дак в чом заключаеться вопрос, как удалить ШЕЛЛ?
avatar
сравнивать файлы с предварительно сдделаным бакапом, ну или ручками перебирать
avatar
у хостера спросите что за херня. Скорее всего взломщик имеет доступ именно к управлению сервером. ЗЫ. В своё время имел доступ к одному серверу, который был тупо расшарен через банальную дыру в интернет-магазине одного из сайтов, который был на сервере. Да, и до того, как я не написал в саппорт того хостинг-провайдера — дыру так и не закрывали, хотя предварительно я писал владельцам всех сайтов, что были на сервере :)
avatar
На одном из:
«Server rooted by C37HUN!»

Так что проверяйте
avatar
Спросил хостера, он что то там сделал, удалил всё что не должно было быть, сказал теперь всё хорошо. После этого установил ЭТО теперь буду знать всё что происходит с файлами, спасибо большое всем, думаю кому нибудь это тоже поможет как и мне.
avatar
читайте логи фтп и ссш, кто когда с какого айпи заходил :)
посмотрите логи вебсервера какие файлы запускались до/после дефейса.
поищите веб-шелл.
отключите все левые плагины.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.