Взломали сайт, помогите решить проблему хотя бы советом.

***Tonchi*** · 11.02.2012, 16:06

Здравствуйте дорогие друзья. Вчера случилась не приятная ситуация. Мой сайт который еще в разработке был взломан неизвестным злоумышленником. Пока только догадки кто это мог сделать. Подозреваю Людей которые работали на сайте. Сейчас они уволены, но думаю они могли на вредничать.

Сайт стоит на CMS Dle 9.4 установлено множество модулей, порядка 6-ти, но все куплено так что думаю проблема не у них. Хотя знаю что взламывают через модули. Но тех кого я подозреваю такое бы не сделали. Скорее всего в сайт всунута какая-то стучалка, шелл или еще что-то.

Злоумышленник смог получить доступ к поему аккаунту на сайте после чего удалил его и все аккаунты которые были на сайте.
Сайт был закрыт, но его открыли. Я создал файл .htaccess с закрытием доступа к сайту. Все что смог сделать сразу.

Это началось вчера вечером, но я это быстро просек, быстро восстановил старую БД, сменил все пароли как до аккаунтов так и до самой БД. Удаленный доступ кстати к ней закрыт. Сегодня утром это случилось повторно, значит злоумышленник как-то делает себе доступ к админке.

Посоветуйте друзья как это решить по быстрее. Спасибо. Если шелл был вшит в файлы движка то это не проблема, можно переустановить. Хочу еще пересмотреть весь шаблон... Может есть простейшее решение проблемы?

Cain · 11.02.2012, 16:12

Решение 1:
Гуглить по фразе "XXX exploit", подставляя вместо ХХХ - название модулей установленных на сайте. При получении положительных результатов - удалять/обновлять/искать замену модулям (на выбор т.с.).

Решение 2:
Смотреть логи вебсервера на предмет sql-иньекций. По результатам править уязвимые скрипты.

***Dizband*** · 11.02.2012, 16:19

Цитата:

Сообщение от Cain

Смотреть логи вебсервера на предмет sql-иньекций.

Это все уязвимости, которые существуют?

Сюда бы логфайл прикрепить.

***Tonchi*** · 11.02.2012, 16:30

Простите за глупый вопрос, а какой именно лог файл прикрепить?. Был бы рад помощи. Спасибо.

ReaM · 11.02.2012, 16:36

Ссылочку скинь в ПМ, проанализирую твой сайт. или в аську напиши 6o6o61o

***ExLite*** · 11.02.2012, 16:39

Диапазон после смены всех паролей и до обнаружения повторного взлома. Это вчерашние вечерние и сегодня утренние логи как я понял.

***Tonchi*** · 11.02.2012, 17:00

Как я понимаю взлом осуществляется через POST запросы, и подробности в лог
не пишутся. Кокрас когда это началось, один IP сделал больше всего пост запросов.
Вчера 28 запросов сегодня 124
Как я понимаю взломщик засветился именно этими запросами. Ибо сайт был закрыт, и на него почти никто не заходил. Там есть пару моих запросов, свою ИП я знаю.

Добавлено через 19 минут
Спасибо всем, спасибо друзья. Нашел на сайте Шелл, который отправлял пароли и хз что еще на какой-то адрес.
Файлик удалил, но собираюсь проверить сайт еще на наличие этих файлов.

***Dizband*** · 11.02.2012, 17:48

Нуленая DLE? Если да, то не удивительно.

***Tonchi*** · 11.02.2012, 18:19

Цитата:

Сообщение от n0nam3

Нуленая DLE? Если да, то не удивительно.

ритейл+ключик

***Romka*** · 11.02.2012, 20:27

Tonchi, вполне возможно, что те ребята и залили тебе шелл "на всякий случай".

11.02.2012, 16:06	#1
*Tonchi* Герой Регистрация: 23.11.2007 Адрес: Украина Сообщений: 928 Отблагодарили 175 раз(а) Рейтинг мнений: 61	Взломали сайт, помогите решить проблему хотя бы советом. Здравствуйте дорогие друзья. Вчера случилась не приятная ситуация. Мой сайт который еще в разработке был взломан неизвестным злоумышленником. Пока только догадки кто это мог сделать. Подозреваю Людей которые работали на сайте. Сейчас они уволены, но думаю они могли на вредничать. Сайт стоит на CMS Dle 9.4 установлено множество модулей, порядка 6-ти, но все куплено так что думаю проблема не у них. Хотя знаю что взламывают через модули. Но тех кого я подозреваю такое бы не сделали. Скорее всего в сайт всунута какая-то стучалка, шелл или еще что-то. Злоумышленник смог получить доступ к поему аккаунту на сайте после чего удалил его и все аккаунты которые были на сайте. Сайт был закрыт, но его открыли. Я создал файл .htaccess с закрытием доступа к сайту. Все что смог сделать сразу. Это началось вчера вечером, но я это быстро просек, быстро восстановил старую БД, сменил все пароли как до аккаунтов так и до самой БД. Удаленный доступ кстати к ней закрыт. Сегодня утром это случилось повторно, значит злоумышленник как-то делает себе доступ к админке. Посоветуйте друзья как это решить по быстрее. Спасибо. Если шелл был вшит в файлы движка то это не проблема, можно переустановить. Хочу еще пересмотреть весь шаблон... Может есть простейшее решение проблемы?

11.02.2012, 16:12	#2
Cain Пользователь Регистрация: 18.06.2011 Адрес: Петропавловск-Камчатский Возраст: 37 Сообщений: 42 Отблагодарили 14 раз(а) Рейтинг мнений:	Re: Взломали сайт, помогите решить проблему хотя бы советом. Решение 1: Гуглить по фразе "XXX exploit", подставляя вместо ХХХ - название модулей установленных на сайте. При получении положительных результатов - удалять/обновлять/искать замену модулям (на выбор т.с.). Решение 2: Смотреть логи вебсервера на предмет sql-иньекций. По результатам править уязвимые скрипты.

11.02.2012, 16:30	#4
*Tonchi* Герой Регистрация: 23.11.2007 Адрес: Украина Сообщений: 928 Отблагодарили 175 раз(а) Рейтинг мнений: 61	Re: Взломали сайт, помогите решить проблему хотя бы советом. Простите за глупый вопрос, а какой именно лог файл прикрепить?. Был бы рад помощи. Спасибо.

11.02.2012, 16:36	#5
ReaM Эксперт Регистрация: 02.10.2009 Возраст: 36 Сообщений: 1,831 Отблагодарили 1 раз(а) Рейтинг мнений:	Re: Взломали сайт, помогите решить проблему хотя бы советом. Ссылочку скинь в ПМ, проанализирую твой сайт. или в аську напиши 6o6o61o

11.02.2012, 16:39	#6
*ExLite* . Регистрация: 18.02.2010 Адрес: Odessa Сообщений: 566 Отблагодарили 195 раз(а) Рейтинг мнений:	Re: Взломали сайт, помогите решить проблему хотя бы советом. Диапазон после смены всех паролей и до обнаружения повторного взлома. Это вчерашние вечерние и сегодня утренние логи как я понял.

11.02.2012, 17:00	#7
*Tonchi* Герой Регистрация: 23.11.2007 Адрес: Украина Сообщений: 928 Отблагодарили 175 раз(а) Рейтинг мнений: 61	Re: Взломали сайт, помогите решить проблему хотя бы советом. Как я понимаю взлом осуществляется через POST запросы, и подробности в лог не пишутся. Кокрас когда это началось, один IP сделал больше всего пост запросов. Вчера 28 запросов сегодня 124 Как я понимаю взломщик засветился именно этими запросами. Ибо сайт был закрыт, и на него почти никто не заходил. Там есть пару моих запросов, свою ИП я знаю. Добавлено через 19 минут Спасибо всем, спасибо друзья. Нашел на сайте Шелл, который отправлял пароли и хз что еще на какой-то адрес. Файлик удалил, но собираюсь проверить сайт еще на наличие этих файлов. Последний раз редактировалось Tonchi; 11.02.2012 в 17:19. Причина: Добавлено сообщение

11.02.2012, 17:48	#8
*Dizband* ЛК под любые игры Регистрация: 05.09.2009 Возраст: 39 Сообщений: 732 Отблагодарили 304 раз(а) Рейтинг мнений:	Re: Взломали сайт, помогите решить проблему хотя бы советом. Нуленая DLE? Если да, то не удивительно.

11.02.2012, 20:27	#10
*Romka* Супергерой Регистрация: 04.01.2012 Сообщений: 3,399 Отблагодарили 2,443 раз(а) Рейтинг мнений: 14	Re: Взломали сайт, помогите решить проблему хотя бы советом. Tonchi, вполне возможно, что те ребята и залили тебе шелл "на всякий случай".

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите решить проблему	Dyshha	Lineage II	20	31.01.2012 19:00
[Error] Помогите решить проблему	Fil	Серверная часть	10	30.08.2010 03:32
Помогите решить проблему с сетью.	IIIsergyIII	Rising Force Online	0	22.07.2010 09:35
Помогите решить проблему	vinste	Aion	8	23.06.2010 01:24
Помогите пожалуйста решить проблему	JOHNNICK	Серверная часть	13	12.02.2010 09:43