Форум Сайтостроение Безопасность

Странные письма

vtomas
На сайте с 19.03.2007
Offline
102
vtomas
1260

Получил три странных письма за последние два дня, содержание одного из них:

от: Root User <Postmaster>

тема: "Мой сайт" Marco's interceptor warning

** Union Select [GET:search] => %\' and 1=2) union select 1,concat(0x7e,table_name,0x7e),2,3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_name=0x4348415241435445525f53455453 -- ;
** Union Select [REQUEST:search] => %\' and 1=2) union select 1,concat(0x7e,table_name,0x7e),2,3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_name=0x4348415241435445525f53455453 -- ;

**PAGE / SERVER INFO


*REMOTE_ADDR :
61.7.141.221

*HTTP_USER_AGENT :
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; MRA 4.4 (build 01348))

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_kunena&func=userlist&search=%25%27+and+1=2)+union+select+1,concat(0x7e,table_name,0x7e),2,3,4,5,6,7,8,9,10,11,12,13,14,15+from+information_schema.tables+where+table_name=0x4348415241435445525f53455453%20--%20;



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
-[option] => com_kunena
-[func] => userlist
-[search] => %\' and 1=2) union select 1,concat(0x7e,table_name,0x7e),2,3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_name=0x4348415241435445525f53455453 -- ;


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
-[option] => com_kunena
-[func] => userlist
-[search] => %\' and 1=2) union select 1,concat(0x7e,table_name,0x7e),2,3,4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_name=0x4348415241435445525f53455453 -- ;

Это попытки взлома? Сайт на Joomla 1.5

Просмотрел даты изменения файлов, все более чем древние, прогнал айболитом - тоже тишина.

В следующим фигурирует com_ignitegallery, в третьем com_jomtube. Ни одного из этих компонентов нет на сайте, видимо это и спасает.

Стоит ли начинать беспокоиться?

Хорошее стоит дорого, на плохое не стоит и тратиться. В поисках VPS захостился здесь (http://ipserver.su), а бэкапы храню здесь (http://billing.markovservers.com/backup/pl.php?65).
LEOnidUKG
На сайте с 25.11.2006
Offline
1762
LEOnidUKG
#1

Это кто-то искал дырки на вашем сайте на автомате.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
vtomas
На сайте с 19.03.2007
Offline
102
vtomas
#2

Спешно пробежал по всему что установлено, все версии последние.

Не пойму кто шлет эти письма? Если хостер - то спасибо ему за поддержание в тонусе.

LEOnidUKG
На сайте с 25.11.2006
Offline
1762
LEOnidUKG
#3

Ну откройте заголовки письма и увидите кто их шлёт.

vtomas
На сайте с 19.03.2007
Offline
102
vtomas
#4

Заголовки следующие:

X-Yandex-FolderName: Vhodyashchie
Received: from mxfront7j.mail.yandex.net ([127.0.0.1])
by mxfront7j.mail.yandex.net with LMTP id ONr0IWGE
for <моя@почта>; Fri, 28 Jun 2013 22:24:23 +0400
Received: from сервер хостера (сервер хостера [IP хостера])
by mxfront7j.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 55v6zvkCW0-ONPacEYe;
Fri, 28 Jun 2013 22:24:23 +0400
X-Yandex-Front: mxfront7j.mail.yandex.net
X-Yandex-TimeMark: 1372443863
X-Yandex-Spam: 1
Received: from аккаунт by хостер with local (Exim 4.80.1)
(envelope-from <аккаунт@хостер>)
id 1UsdLL-0007aA-L8
for моя@почта; Fri, 28 Jun 2013 22:24:23 +0400
To: моя@почта
Subject: =?utf-8?B?0J7QntCeINCi0LjQrdC70KHQuCBNYXJjbydzIGludGVyY2VwdG9yIHdhcm5p?= =?utf-8?B?bmc=?=
X-PHP-Script: мой сайт/index.php for ip сайта
Date: Fri, 28 Jun 2013 22:24:23 +0400
From: Root User <>
Message-ID: <3ece960536e390749b8d87b68535e679@мой сайт>
X-Priority: 3
X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="utf-8"
Return-Path: аккаунт@хостер
X-Yandex-Forward: 9a3d7bc7b92c7ddd7c4696271efb297f
draff
На сайте с 30.03.2010
Offline
65
draff
#5
vtomas:

Не пойму кто шлет эти письма?

Работа плагина Marco's- System - Marco's SQL Injection - LFI Interceptor

Удалю вирус с сайта Джумла! (http://joomlaforum.ru/index.php/topic,254903.0.html)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий