Новая тема   Ответить

 warik
на всех сайтах одного хостинга появилась страничка с музыкой и надписями MeGo 0wnz u
Oh Bad security , Nothing still ;)
No Porn Sry
#M3GO@H311 ~ EG5-@hotmail.com
#~ From EgYpT ~ Gr33ts to all Egyptians Hackers !~~
Specail Gr33ts To Dr.Silnt HilL , Mr.Alsa3ek , God Father , Mo7a , My Keyboard

На всех сайтах заменён или изменён index файл..если его исправить то все начинает работать..Больше всего меня интересует КАК они взломали мой хост?? и как защититься в будущем. Всем за ранее спасибо!!)))

 Yacc
Так а софт какой на сервере?

 warik
только WordPress

 kodek
Через дырки в скриптах, как правило. Либо пароль подбирают. Заливают шелл, а дальше - что угодно. Мне стёрли всю инфу как-то со всех доменов (на виртуале дело было), хорошо что хостер бекапы делает ежедневные.

 Vyacheslav
WordPress последний был?

 warik
Несколько блогов были на последнем, а в основном 3.0

 ibiz
warik писал:





не обязательно через скрипты типа вордпресс, скорее всего через софт на сервере, иначе бы поломали 30% сайтов в инете, ну или через плагин дырявый

 AWD
чаще не сам вордпресс ломают, а его плагины. какие-то календари и прочая лабуда...
поищи в логах аномальные union select, =хттп://, кавычки, и вообще ненормального вида строки логов аля "./../..". вообщем, ищи дырку...
или если сбрутили - найдешь кучу попыток логинов...

 warik
Как Найти шел файл??

 warik
не на всех блогах были заменены индексы, но ещё заменили индексы статичных сайтов..

 Pentarh
Если у тебя остался нетронутый хоть один хакнутый файл, сделай stat file.php и покажи че напишет. Много чего сказать можно будет.

шеллы искать можно (если только .php файлы обрабатываются как php) следующей командой:

find /path/to/domains -type f -name '*.php' -exec egrep -q '\W(eval|exec|system|popen)\W' -print

/path/to/domains - путь к домену (доменам)

Но это только список подозрительных файлов. Например у вордпресса, как и у большинства веб-скриптов, вряд ли будут файлы с такими системными вызовами.

Часто хацкеры при разрешенных .htaccess проделывают фишку. Кладут шел в какой нибудь empty.gif и объявляют в .htaccess

Addtype application/x-httpd-php .gif

Такие "странные" .htaccess можно найти командой

find /path/to/domains -type f -name '.htaccess' -exec grep -i -q 'x-httpd-php' -print

Если будут и они не ваши, ищите сюрпризы в этих папках.

Но опять же, это не решает вопрос откуда хакеры проникли.

Директадмин то стоит? phpmyadmin? proftpd? Еще какая ересь? Версия ядра (uname -a)?

 awm_mark
warik писал:

да ты тупо подловил трояна, и все твои пароли теперь кто-то для прикола заюзает