Danyil
В связи с известной дырой в старой версии скрипта GB Top, никто из пользователей скрипта не может быть уверен, что он не взломан и что у него не сидит бекдор...
Предлагаю всем очень усиленно всё проверять на предмет вражеской деятельности.
Хакер очень коварен и склонен скрывать свою подлую деятельность. К примеру, я никакими способами не мог определить, что в течении шести дней идёт скрытый редирект, хотя просил посторонних людей покликать, проверить. Казалось, что всё нормально. А только траф постепенно всё уменьшался и топы тихо умирали...
Есть подозрение, что гад читает этот форум, поскольку реагирует на местные посты. В последний раз вражеские файлы уже были не видны в админке, только по фтп...
Ado.Blogs
может кто-то подробно описать дыру и признаки и как лечить?
в топике КрейзиМена излагается нихуя не ясно и очевидно. У меня признаков как бы нет, но ваша паника напрягает
datafiles/usagent.php это присутствует
bubon
Ado.Blogs писал:
может кто-то подробно описать дыру и признаки и как лечить?
в топике КрейзиМена излагается нихуя не ясно и очевидно. У меня признаков как бы нет, но ваша паника напрягает
datafiles/usagent.php это присутствует
+1. Тоже как бы признаков нет, но паника тоже как бы напрягает. Тоже не до конца понял как определить наличие дыры.
CrazyMen
Ado.Blogs писал:
может кто-то подробно описать дыру и признаки и как лечить?
в топике КрейзиМена излагается нихуя не ясно и очевидно. У меня признаков как бы нет, но ваша паника напрягает
datafiles/usagent.php это присутствует
Что там не понятно? ты спрашивай если не понятно. а уса агент это бэкдор у тебя скачай и код то плсмотри хоть ради любопытства
Danyil
Дыра была в скрипте ГБ до версии 5.3.
Через неё могли легко взломать и загрузить вебшелл. А дальше уже всё ваше хозяйство в полном распоряжении хакера...
Лично у меня выявленная деятельность урода проявилась так.
Сначала вредоносный код прописывался в темплейтах...
После чистки через некоторое время КИС стал ругаться при заходе на мои сайты. Оказалось index.php изменён...
После восстановления вдруг начало редиректить на какую-то фарму, а если с русского IP, то на какую-то русскую дрочерскую борду. Оказалось, повреждены файлы .htaccess...
После восстановления, всё вроде хорошо, но траф падал всё больше. Никак не мог найти проявления врага. Только саппорт хоста вычислил вебшеллы и снова вдруг все файлы index.php оказались изменёнными...
После лечения вчера случайно увидел свеженький очередной вражеский файл. С помощью саппорта нашли ещё несколько. Причём в этот раз из админки эти файлы оказались не видны. Замаскировал гад, хакер хренов...
У меня нет никакой уверенности, что все вебшелы из моего хозяйства уничтожены... Вот так...