Подозрительный лог

merser · 2012-11-06T17:26:43.0000000Z

Нашел сегодня в логе на одном сайте такое вот 209.249.12.207 - - [05/Nov/2012:07:38:42 +0400] "HEAD /index.php HTTP/1.1" 301 - "-" "MSIE 7.0; Windows 5.1; compatible" 209.249.12.207 - - [05/Nov/2012:07:38:42 +0400] "HEAD / HTTP/1.1" 200 - "-" "MSIE 7.0; Windows 5.1; compatible" 209.249.12.207 - - [05/Nov/2012:07:38:44 +0400] "HEAD /index.php HTTP/1.1" 301 - "-" "MSIE 7.0; Windows 5.1; compatible" 209.249.12.207 - - [05/Nov/2012:07:38:44 +0400] "HEAD / HTTP/1.1" 200 - "-" "MSIE 7.0; Windows 5.1; compatible" 209.249.12.207 - - [05/Nov/2012:07:38:46 +0400] "HEAD /index.php?<?print(md5(123456));eval(base64_decode($_SERVER[HTTP_A59DC2C8]));exit;?> HTTP/1.1" 200 - "-" "MSIE 7.0; Windows 5.1; compatible" 209.249.12.207 - - [05/Nov/2012:07:38:48 +0400] "GET /cache/4d01a1812c320b0b54c9065577aa2276.php HTTP/1.1" 404 57193 "-" "MSIE 7.0; Windows 5.1; compatible" Помогите разобраться что это вообще было

R1

0

Rostov114

10 ноября 2012, 17:44

#11

sergv:
IPB форумы 3.1, 3.2 и 3.3 версий подвержены уязвимости.

Как это работает и что где создается человек описал тут

Доп инфа тут

Заплатки тут для рус версий, а тут от разрабов для инглиш

Сам только что вычистил 2 инвижна 3.3.4 и 3.1.4 от этой гадости....

Спасибо.

Подумываю теперь продлить лицензию.

Хотя от кривого когда никто не спасет. Но измененный .htaccess - хотя бы придает немного спокойствия.

441

sergv

10 ноября 2012, 17:54

#12

.htaccess не сильно спасает, файлы все равно заливаются. Они же льют через форум, используя дырку... Пока не обновите core.php - толку не будет...

Апдейтить нужно быстро, т.к. заливают шелл + судя по логам они его юзают. Что делают-хз.

На всякий случай рекомендую сменить пароли на фтп, пароли к базе, пароли к админским аккам и проверить крон.

https://REGHOME.ru - регистрация и продление доменов от 169₽ в российских и международных зонах по честным ценам без звездочек. (R01, WebNames, UK2). Принимаем Ю-Money, Visa, MasterCard, Мир

Оптимальный robots.txt для дижка На сайт заливаются чужие Яндекс нашел вирус на

R1

0

Rostov114

10 ноября 2012, 18:00

#13

# Dirty sec patch

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)$">

    Order allow,deny

    Deny from all

</Files>



<Files ~ "index.php">

	Allow from all

</Files>

# Dirty sec patch

Такой хоть немного, но придает спокойствие - зальют, но не смогут использовать.

Обновляю, хот мне придется править все ручками - ядро изменялось.

441

sergv

10 ноября 2012, 18:05

#14

да я понял о каком вы htaccess говорите. он лишь немного помогает, но не спасает :)

R1

0

Rostov114

10 ноября 2012, 18:19

#15

sergv:
да я понял о каком вы htaccess говорите. он лишь немного помогает, но не спасает :)

Интересный патч, в октябрьском патче функция safeUnserialize использовалась в самом core.php

Сейчас же её изменили на parseCleanValue в методе get класса IPSCookie

Б

0

Бергштейн

11 ноября 2012, 19:16

#16

ТС, прикрутите WAF или PHP IDS, обычно помогает.

H

0

hosteam

16 ноября 2012, 09:43

#17

Ставьте mod_security, он очень часто спасает в подобных случаях. Не всегда, к сожалению.

1

T

55

tls

29 декабря 2012, 19:50

#18

Ап. ^^^^^^^

Зачем быть уникальным в мире, где все можно скопировать

Open AI тестирует память для ChatGPT