От куда гугл мог брать такие запросы? Что происходило?

Автор Alster Ego, 18 октября 2010, 23:10:22

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Alster Ego

От куда гугл мог брать такие запросы? Что происходило?

К примеру

"/FCKeditor/editor/config.php?news=how-to-get-a-copy-of-high-school-diploma"
"/FCKeditor/editor/config.php?news=michael-jackson-myspace-backgrounds"

и тому подобное, идут постоянно около суток.

Установлен SMF 1.1.11 | на нем TinyPortal v0.9.8, сам FCKeditor отлючен в настройках и папку FCKeditor сейчас удалил.

Перед этим было сообщение от StopBadware  что сайт может быть потенциально опасным. Было сообщение "подозрительное содержание было обнаружено 2010-10-17. Malicious software includes 9 scripting exploit(s), 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine." 
Сейчас это сообщение уже не появляется

Как это удалось? Нашли уязвимость в TinyPortal или в FCKeditor?

Да еще посторонний прошел верификацию от гугля на сайт создав НТМL  в корне, верификацию я убил, по логам не могу найти каким образом удалось его создать, написал хостерам. жду ответа от них так же.

Заранее спасибо.


Макар

Получается в конфиге редактора была уязвимость .
Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

Alster Ego

Цитата: Makar от 18 октября 2010, 23:18:59
Получается в конфиге редактора была уязвимость .

У редактора нет такого файла и не было :)


Ответ хостера: мы не нашли тот файл, о котором вы упоминали в логах также ничего нет о его создании, есть только запись о его удалении Вами...  Следующий раз, если это повторится не удаляйте, не открывайте, и не переносите его, а сразу сообщите нам (примерный перевод буржуйского хостера)  хе хе :)

ну так далее. Ладно посмотрим что дальше.


Кстати, у меня есть данные  человека, которые прошел верификацию , не знаю на сколько они правдивы, есть майл,  адрес и тел. Чел из техподдержки одного неработающего Российского хостера.

Mr.Hide

Я вообще вот что в папке subs нашел: 2by2host_install.php скрипт. Ума не приложу что это, и откуда он? Могу приаттачить, взглянете?

Alster Ego

#4
Вот что еще нашел :)  Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.

BIOHAZARD

Цитата: Mr.Hide от 18 октября 2010, 23:45:24
Я вообще вот что в папке subs нашел: 2by2host_install.php скрипт. Ума не приложу что это, и откуда он? Могу приаттачить, взглянете?
twitter mod
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

0daliska

Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел :)  Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.
Ну, при попытке скачать сей файл, у меня аваст матюгнулся на
Sign of "PHP:Shell-AA [Trj]" has been found in "http://www.simplemachines.ru/index.php?action=dlattach;topic=11321.0;attach=6135\conf.php" file. 
В общем, скачать сей файл не судьба - точно...
Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only

Alster Ego

мда,  удивительным образом папка FCKeditor появилась снова... опять со спам скриптами. Видимо от шелла не избавился..

Stern

#8
Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел :)  Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.
Хоть древняя тема, но это действительно интересно!
Это довольно-таки серъёзный шелл
wso2
только вчера с ним познакомился на одном из своих проектов - в логах нашёл сообщение (от 13 июля 2011) о попытке залить на форум файл wso2.php
Вот тут подробности.

Кстати, года два назад через то ли tp-images, то ли tp-downloads на другой проект также был залит шелл - где-то на форуме есть темка.
МышЫ плакали, кололись, но продолжали жрать кактус...

Stern

Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел :)  Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.
Мавн, убей вложение!
МышЫ плакали, кололись, но продолжали жрать кактус...