1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Залили шелл

Тема в разделе "Помощь по всем вопросам.", создана пользователем NANOTECH, 31 мар 2015.

  1. TopicStarter Overlay
    NANOTECH

    NANOTECH

    Регистрация:
    11 дек 2012
    Сообщения:
    150
    Симпатии:
    69
    Пришло сегодня письмецо от хостера ,что обнаружены на сайте инфицированные файлы.
    Сайт на вордпресс 4 ,проверил специальными плагинами действительно есть шелл.
    Так как файлы сайта давно не редакировал, сразу видно новые файлы добавленные сегодня.
    Посмотрел по логам сервера походу сканировали сайт прогой на уязвимости и наши (
    Дырявый плагин Revolution Slider , залили в папку temp этого плагина шелл бекдор ,конктетно файла 5.php и другие пхпшки шифрованные.

    Папка temp с шеллами:
    Please login or register to view links

    Вирустотал: Please login or register to view links
    Как защитить сайт от этой уязвимости?
    менять плагин не охота ,возни много получится.
     
    • Like Like x 1
    Метки:
  2. ResH

    ResH Команда форума

    Регистрация:
    26 июл 2012
    Сообщения:
    1.680
    Симпатии:
    2.274
    Please login or register to view links
     
  3. TopicStarter Overlay
    NANOTECH

    NANOTECH

    Регистрация:
    11 дек 2012
    Сообщения:
    150
    Симпатии:
    69
    спасибо)!
    залил чистый , использовал AntiShell
    и плагин вордпресса сканирующий на шеллы
     
  4. deeKey

    deeKey

    Регистрация:
    4 янв 2014
    Сообщения:
    69
    Симпатии:
    68
    а я на один форум путем соц. инженерии залил 3 шелла и модифицировал модуль авторизации и регистрации так, чтобы она записывали логины/почты и пароли в отдельный файл. Эти 3 шелла и модифицированный модуль уже почти полгода так лежат. Владельцы ее все еще не заметили :)
     
  5. ResH

    ResH Команда форума

    Регистрация:
    26 июл 2012
    Сообщения:
    1.680
    Симпатии:
    2.274
    еще подключи запрет на запуск php файлов кроме твоих
     
  6. TopicStarter Overlay
    NANOTECH

    NANOTECH

    Регистрация:
    11 дек 2012
    Сообщения:
    150
    Симпатии:
    69
    мне кучу htaccess ов назаливали и txt файлов ,около 4000 штук.
    текстовые файлы с названиями сms: vbulletin ,joomla, wordpress и другие всех версий и запросы шли каждую секунду (по логам видно).
    Так что это прога или скрипт специальный.
    поставил антивирусный плагин и заблочил ip запросы шли. (1 ип - Ирак, другой - Алжир)
    хотя врятли это их реальный ip.
    --- Добавил сообщение, 31 мар 2015 ---
    видимо у них хостер без антивируса сидит ,либо хорошо шифруешь)
     
  7. TopicStarter Overlay
    NANOTECH

    NANOTECH

    Регистрация:
    11 дек 2012
    Сообщения:
    150
    Симпатии:
    69
    Закрыл доступ в уязвимой дириктории и разрешил выполнение скриптов относящихся только к cms.

    Посмотрел по логам ,сегодня в 3 часа ночи тоже пытались взломать , но у них ничего не получилось.

    По логам увидел странный переход на мой сайт, с одного сайта .

    А там база тысяч 6 взломанных сайтов со всего мира.
     

Поделиться этой страницей

Загрузка...