Уже нескольео раз меняла, имя админки, пароль фтп так и sql.
Кто в курсе для чего папка на хостинге cgi-bin ? Кажется шел перестал попадать на один из сайтов когда я поставила права на папку 0. Удалить папку нельзя, в ней лежит 1 файл php, который открыть нельзя.
Спасибо! Однако это не-помогает, хотя на одном сайте сработало на другом хостинге вирус перестал появляться (возможно хакер просто забыл про сайта), а вот на хостинге timeweb вирус по прежнему появляется. Даже больше того, вчера я купила лицензию движка 9.2. Установила и подумала что можно спать спокойно, сегодня опять initme.php и и все что вы описали как всегда появились на сайте. Иногда вирус прописывает себя в login.tpl и устанавливает там закодированный код типа $o="fdsfdsfsdrwerwefrqfevger"
В логах опять команда POST выполняется как-будто сайт не мой а хакера. Движок дырявый до ужасов!!!! На сайт вирус попадает через дырку в движке. FTP исключается, если-бы через ftp был залит шел в он бы в логах которые я смотрю не отображался.
В Uploads
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>
В Temlpate
Order Deny,Allow
Даже если злоумышленник сделает себя админом, он не сможет просто залить файлы в корневую папку сайта и в папку engine, даже если зальет в uploads или templates как ему обойти htaccess?. Все делается на автомате посмотрите на дату логов, все команды POST - делаются в одну минуту, работает бот а не человек. Потому-что действия всегда аналогичные, вначале проверка на существования трояна, если его нет они заливаются, и все это в одну минуту. Забыла добавить у меня на аккаунте 4 сайта, и 3 сайта постоянно заражаются в одно время сразу гопом, а 4 почему-то не заражается, возможно причина, его показатели нулевые и нет в индексе, а может причина в другом.
Во первых я уже узнавала на хостинге нельзя включить защищенный режим и управлять через php.ini или .htaccess. У меня виртуальный хостинг nginx, провайдер timeweb.
Как я расшифровала логи, если я нетак расшифровала поправьте меня, мне хочется узнать где-же все же баг в движке, или украли пароли от ftp доступа.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
Получили главную страницу сайту.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /engine/initme.php, сервер вернул ошибку 404 - потомучто этот файл я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/htaccess.php HTTP/1.0" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /uploads/htaccess.php, сервер вернул ошибку 404 - этот файл ранее я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /uploads/1.php, сервер вернул ошибку 404 - потомучто этот файл я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:04 +0300] "POST / HTTP/1.0" 200 59951 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Начали заливать вирус на сайт, размер файла 59951, как называется файл который появился на сайт неизвестно и в какую директорию он был залит. Сервер легко разрешил создать это файл на хостинге в директории сайта, вернув код 200 ОK.
Мое мнение такое, если-бы в движке был бэкдор, в логе отобразилось обращение к файлу трояна, этого в логи не показано, значит хакеру известен пароль и логин ftp к доступу на сайт .
Или я не права, поправьте меня пожалуйста? Это все-же бэкдор или известен хакеру пароль и логин к ftp?
Обратите внимание AdCentriaIM/1.7 Firefox/3.0.4 - известный вирус AdCentriaIM заражает Firefox, у злоумышленника этот вирус в его браузере, либо он специально сделал такой рефер в программе которая эмитирует браузер и создает команду POST.
Не-поняла, что значит не закрыт паролем? Скорее всего где-то на сайт бэкдор. Но вот как его найти, про сканировала весь код eval( есть только в ява скриптах.
Вирус себя спокойно постит в папку 2 командой /engine/ - site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Лог попадание и активации вируса, может кому будет полезно, смотрите ниже. Я так и непоняла, как он так легко обходит защиту htaccess где я включила запрет на выполнения php файлов. В частности включила, в папке uploads и templates
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:06 +0300] "POST / HTTP/1.0" 200 28 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:07 +0300] "POST / HTTP/1.0" 200 49217 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:21 +0300] "GET /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:21 +0300] "GET /favicon.ico HTTP/1.0" 404 205 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:24 +0300] "GET /favicon.ico HTTP/1.0" 404 205 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:26 +0300] "GET /templates/1.php HTTP/1.0" 404 209 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:29 +0300] "GET /backup/1.php HTTP/1.0" 500 526 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:37 +0300] "POST / HTTP/1.0" 200 32 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:40 +0300] "GET /templates/1.php HTTP/1.0" 200 4123 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:43 +0300] "POST /templates/1.php HTTP/1.0" 200 4273 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:55 +0300] "POST /templates/1.php HTTP/1.0" 200 2995 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:58 +0300] "POST /templates/1.php HTTP/1.0" 200 4264 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:09 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /uploads/htaccess.php HTTP/1.0" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST / HTTP/1.0" 200 59951 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:12 +0300] "POST / HTTP/1.0" 200 132 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:13 +0300] "POST / HTTP/1.0" 200 9050 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:13 +0300] "POST / HTTP/1.0" 200 16 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:41 +0300] "GET / HTTP/1.0" 200 49326 "-" "-"
Методом замены, заливала движок. В интернете находила, проблема такая была не только у меня, но ответа так и не нашли, по крайне мере на форуме ответа не-было откуда руки растут и где именно баг в движке. Установлен 7.5 DLE лицензионный, все фиксы которые были описаны на официальном сайте dle-news установлены.
Установлен мощный антивирус и фаервол, все программное обеспечение лицензионное.
Осипова Ирина Владимировн добавил 08.03.2011 в 15:04
Я проверяла все файлы движка методом сравнения, также проверила все папки движка, лишних файлов не обнаружила. Исключение составили папки uploads, так как там уже загружены картинки, и сравнить с оригинальным дистрибутивом не-представляется возможным.
В DLE есть встроенный антивирус, им сканировала сайт, он обнаружил все, что описала выше, кроме того был залитый в папку uploads файл 1.htaccess.php. Все что было обнаружено, удалила. Также включила в админки запрет на закачку файлов и добавление новостей. На папку Uploads поставила права запрет на запись. Но вирус пошел дальше, после принятых мной мерб он спокойно записал себя в папку backup и по новому активировался, исправив права на папку uploads и другие папки. Сайт находиться на хостинге timeweb, там нету панели cpanel и возможности проверять на вирусы. Заплатки с официального сайта DLE были установлены на сайт, но это не-помогает.
Осипова Ирина Владимировн добавил 08.03.2011 в 14:33
Копировала все файлы движка с нуля, кроме папки uploads и базы sql, это не-помогло. Папки uploads проверила каждый файл, только картинки, подозрительных файлов не-обнаружила.
