Кажется взломали сайт

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Кажется взломали сайт

Непрочитанное сообщение Electronik » 2011-09-14 3:18:32

Делал резервную копию своего сайта, начал скопировал по ftp. Начал распаковывать локальную копию и нод32 взбесился.
Нашел он скрипты на php c99sh_surl и Web Shell by oRb.
Скажите кто сталкивался с такими. Сильно ли это критично? И что могли сделать этими скриптами. Хостинг обычный не VPS. Это у провайдера проблемы или у меня, в качестве движка используется Joomla.
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

Re: Кажется взломали сайт

Непрочитанное сообщение FiL » 2011-09-14 5:54:54

критично. Проблемы у обоих, но проблемы прова быстро станут твоими (как только пров узнает, что у него проблемы).

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Кажется взломали сайт

Непрочитанное сообщение Electronik » 2011-09-14 6:05:49

почему проблемы прова станут моими? И как определить кто и откуда пытался ломануть?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Кажется взломали сайт

Непрочитанное сообщение FreeBSP » 2011-09-14 6:23:22

логи входов на ftp

из действий- менять пароли
ну и естественно лечить и перезаливать больные файлы
почему проблемы прова станут моими?
потому что хостер обрел эти проблемы через тебя
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Кажется взломали сайт

Непрочитанное сообщение Electronik » 2011-09-14 6:25:02

просто кроме моего сайта там еще штук 200 крутится
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Кажется взломали сайт

Непрочитанное сообщение FreeBSP » 2011-09-14 6:41:30

локализуется быстро
да и тебе вебшел неприятен. в частности через него спокойно узнается пароль от базы
ну и еще от 200 баз, если те файлы можно читать
вобщем это бяка
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Кажется взломали сайт

Непрочитанное сообщение Electronik » 2011-09-14 7:22:32

т.е они могли в какие то нужные файлы прописаться? И как их обнаружить?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Кажется взломали сайт

Непрочитанное сообщение Bayerische » 2011-09-14 11:12:10

Смотря что за система управления. Стандартная CMS через сравнение diff, это я просто напомнил.
Всё, чтот захешированно, подвергать пристальному изучению.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Кажется взломали сайт

Непрочитанное сообщение FreeBSP » 2011-09-14 15:12:20

отключаешь антивирь, распаковываешь архивчик , проверяешь без удаления
из всех файлов которые антивирь забракует вычищаешь вирь
и на серв льешь
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!