PDA

Просмотр полной версии : У нас на форуме завелись злостные хакеры :)



Geser
06.10.2005, 00:27
Только что закачиваю порцию чистых файлов на ФТП и вижу там файлики с именем типа r57_4340d7e3297a4.php
Ясно мне становится интересно что за файлики. Скачиваю и читаю:

/* r57shell.php - скрипт на пхп позволяющий вам выполнять шелл команды на сервере через браузер
/* Вы можете скачать новую версию на нашем сайте: http://rst.void.ru
/* Версия: 1.1 от 14.10.2004 (public 31.12.2004. Happy new year!!!)
/*
/* Возможности:
/* ~ защита скрипта с помощью пароля
/* ~ выполнение шелл-команд
/* ~ загрузка файлов на сервер
/* ~ загрузка файлов с удаленного сервера с помощью wget, fetch или lynx
...

Есть только одна маленькая проблемка. Директория в которую закачиваются файлы не доступна через веб :)
Так что обломс вышел товарищ кул хацкер :P

Sanja
06.10.2005, 01:34
тыб лучше логи глянуд и дырку пофиксил.. (кста вышле мне на майл тоже логи)
или это на ftp валяется?

Geser
06.10.2005, 09:52
тыб лучше логи глянуд и дырку пофиксил.. (кста вышле мне на майл тоже логи)
или это на ftp валяется?
Логи чего? К логам сервера тут нет доступа :(
Это на ФТП. А директория не находится под www, так что по любому обломс. Но я зактою возможность закачивать пхп всёравно сейчас.

orvman
06.10.2005, 09:59
А IP известен ?

Зайцев Олег
06.10.2005, 10:16
Логи чего? К логам сервера тут нет доступа :(
Это на ФТП. А директория не находится под www, так что по любому обломс. Но я зактою возможность закачивать пхп всёравно сейчас.
а может не стоит ? Будет ловушка для скриптов кулхацкеров :) Если к директории нет доступа через web и поставить атрибуты "rw", то опасности нет

Geser
06.10.2005, 10:20
А IP известен ?
Нет :( Лень было делать лог, хотя может и стоит
Но только дурак будет со своего IP закачивать.

Geser
06.10.2005, 11:15
а может не стоит ? Будет ловушка для скриптов кулхацкеров :) Если к директории нет доступа через web и поставить атрибуты "rw", то опасности нет
Сделал лог закачки + ещё кое какие меры. Пусть закачивают :)

Geser
08.11.2005, 10:38
Хе, очередная попытка нас хакнуть. Закачан очередной пхп файлик

/*
************************************************** ***************************************
* Owned By wicked .. Can You Dig It Sucker? *
************************************************** ***************************************
* *
* Welcome to wicked's Shell *
* This script will allow you to browse webservers etc... *
* Just copy the file to your directory and open it in your Internet Browser. *
* *
* The webserver should support PHP... *
* *
* You can modify the script if you want, but please send me a copy to: *
* [email protected] *
************************************************** ***************************************

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! PLEASE NOTE: You should use this script at own risk, it should do damage to the !!
!! Sites or even the server... You are responsible for your own deeds. !!
!! The admin of your webserver should always know you are using this !!
!! script. !!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*/

MOCT
08.11.2005, 19:56
Хе, очередная попытка нас хакнуть. Закачан очередной пхп файлик
что-то я его не наблюдаю...
а что логи говорят? :-)

Geser
08.11.2005, 19:57
что-то я его не наблюдаю...
а что логи говорят? :-)
Файл bwck_43609b167b9c9.php.hack в логах ИП есть, а толку?:)

MOCT
08.11.2005, 20:17
Файл bwck_43609b167b9c9.php.hack в логах ИП есть, а толку?:)
ах этот, этот я уже давно скачал :)
я уж думал еще что новое приползло.
а ИП - это всегда хорошо ;)