ForumCała strona

Nawigacja

Aktualnie online

Gości online: 22

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Ciągłe hackowanie strony
jaca19
Witam,
Mam problem z uporczywym hakerem który ciągle hackuje mi strone, tzn wstawia obrazek z napisem "owned" do news.php, index.php, maincore.php i config.php..zawartosc config.php wyświetla pod obrazkiem..mimo aktualizacji v7 ( mam wszystkie ) ataki są już od ponad tygodnia..codziennie..moja strona to www.comp-site.pl na razie jest ze tak powiem wylaczona.. Nie wiem co mam z tym zrobic.. Da sie jakos inaczej zabezpieczyc php-fusion lub caly serwer? Dodam ze mam jego ip poniewaz kilka razy logowal sie na mojej stronie prosze o jak najszybsza pomoc..wskazowki itd..z góry dziękuję.
Edytowane przez khaman dnia 07.01.2009 09:10:11
 
Wścibski Gość
Dodany dnia 24.11.2024 22:52:40
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
khaman
Pisalismy o tym wielokrotnie. Poszukaj na forum. Przede wszystkim zaktualizuj fusiona do najnowszej wersji. Sprawdź czy nie ma podejrzanych plików (też o tym pisaliśmy) lub wpisów w bazie danych. Zmień hasła. Ewentualnie nadpisz wszystkie pliki z czystej paczki. Jeśli masz jego IP i korzysta tylko z jednego to zabanuj. Wszystkie odpowiedzi masz na forum. Logował się jako uzytkownik? Skąd wiesz, że to to IP konkretnie?
Edytowane przez khaman dnia 07.01.2009 09:18:25
Posty pomocne oznaczaj jako pomógłhelp.png Nie pomagam na PW/GG | Brak stopki = brak pomocy
 
jack1920
Jeśli robiłeś jakiekolwiek aktualizację to radze najpierw zapoznać się z http://www.php-fu...ost_114759
Edytowane przez jack1920 dnia 07.01.2009 15:01:07
 
[strona łamiąca licencję!]
mail
Zmień hasło użytkownika bazy danych.
Edytowane przez mail dnia 07.01.2009 19:59:33
 
jaca19
Proszę nie usuwać moich odpowiedzi, strona została ponownie zhackowana, mimo wgrania najnowszego php-fusion, zmiany haseł itd.
 
hoopak
Więc tak:
  1. Przeskanuj komputer antywirusem, sprawdź czy nie masz programów szpiegujących etc.
  2. Zrób kopię plików na serwerze oraz wpisów MySQL, w razie usunięcia czegoś ważnego, będziesz mógł to przywrócić. Na wszelki wypadek, przenieś wszystkie za pomocą swojego antywirusa w obszar kwarantanny.
  3. Sprawdź, czy na serwerze nie ma dziwnych, nie dodanych przez Ciebie plików, jeśli tak-usuń je.
  4. Sprawdź, czy w plikach już istniejących nie zostały dodane nowe linijki, jeśli tak-usuń je.
  5. Sprawdź, czy w basie MySQL nie ma podejrzanych wpisów, jeśli są-usuń.
  6. Sprawdź czy jest nowsza wersja PF od tej, którą posiadasz. Jeśli tak-ściągnij ją i zainstaluj.
  7. Zmień hasła do: strony, FTP, MySQL.
 
www.hoopak.pl
jaca19
To raczej nie są pliki bo instalowałem od nowa php-fusion 7-00-4-pl utf-8..Więc albo to jest coś z bazą..albo nowa dziura w php-fusion

Wiadomość doklejona:
Analizowałem logi..jego ip to 94.23.70.12..

Host: 94.23.70.12
Pobierz kod źródłowy  Rozwiń Kod źródłowy


Wstrzyknął mi coś w forum :/
Edytowane przez Pieka dnia 07.01.2009 19:57:21
 
Grzes
A pliki takie jak załączniki, obrazki, avatarki? Wszystkie miejsca, gdzie użytkownik może coś umieścić.

Zmień hasła administratorom na stronie.
Jako, że zmieniałeś hasło do mysqla a ktoś się znów włamał zrób to jeszcze raz - być może sobie je skopiował. Ty pliki usuniesz a on hasło zna - możecie się szukać tak w kółko.

Zarzuć tu listą dodatków z których korzystasz, być może jeden jest winny.

Dobra rada, nie jedź na domysłach, "raczej nie są pliki" to nie dobre podejście. W ten sposób będziesz szukał włamywacza pół roku a on się będzie śmiał. Sprawdzaj wszystko dwa razy.
Niestety ale jak już raz ktoś dopuści do włamania to zaczynają się schody. Musisz pozbyć się bezwzględnie wszystkiego co ktoś zostawił po sobie. Przykład? Jakbym się włamał to spróbowałbym umieścić kod w stronach dodatkowcyh, jakieś panele dodać, założyć sobie administratora (SA), podrzucić jakieś pliki ewentualnie jak się da dopisać kod swój do istniejących plików.
Włamuję Ci się przez jeden ze sposobów, nawet jak go odkryjesz mam kilka asów w rękawie. Przy następnym włamaniu przywracam sobie "furtkę" którą odkryłeś poprzednio bo zakładam, że nie zorientujesz się iż korzystam drugi raz z tego samego.

Można się tak gonić w nieskończoność jeśli administrator nie oczyści witryny z wszystkiego.


Aktualizacja:
Widzę, że podałeś pliki. Właśnie o nich pisałem. Sprawdź wszystko i pousuwaj. Jak witrynę wyczyścisz i zmienisz hasła o których wspominałem możesz ja spokojnie otworzyć. Może nie spokojnie... zaktualizuj fusiona do najnowszej wersji jeszcze tego nie zrobiłeś.

Aktualizacja druga:
To, że pliki znalazły się w katalogu z złącznikami nie oznacza, że skorzystał z dziury w forum - z drugiej strony tego nie wyklucza.
Edytowane przez Grzes dnia 07.01.2009 19:59:53
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
jaca19
images40.fotosik.pl/46/a0d28eb761057027m.png

Tu dodatki z jakich korzystam
Edytowane przez Pieka dnia 07.01.2009 20:31:02
 
Grzes
Nie widzę wśród nich dodatków które były by mi znane z "dziur". Chyba, że o czymś nie wiem.

Więc pozostaje Ci przeczyszczenie witryny. Sprawdź wszystko o czym pisałem, zrób sobie kopię plików i bazy. Otwórz stronę.

Jeśli się nie włamią to odniosłeś sukces, a jeśli tak? Zablokuj witrynę.
Ściągnij bazę i pliki. Porównaj wszystko między poprzednią a aktualną kopią.
Masz tu kilka scenariuszy... jeśli wyczyściłeś wszystko po nim a jest jakaś luka powinien zostawić coś nowego. Wyjdzie przy porównywaniu. Jeśli zaś nie będzie różnic to albo jest mądry i posprzątał... albo nadal masz podrzucone coś o czym nie wiesz.
Zawsze jest jednak szansa, że coś znajdziesz.
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
jaca19
Mam 2 skrypty które mi wstrzykiwał do php-fusion..forum/attachments..w jednym z nich czy mam je komuś wysłać żeby je przeanalizował?
 
mail
Wyślij mi na PW.

Przecież się nic nie stanie jakby wrzucił to na forum... ale nie ja tu rządzę na szczęście xD
Edytowane przez mail dnia 07.01.2009 22:55:57
 
Grzes
Ja już dziś nie dam rady bo się muszę spakować. Wstaw je po prostu na forum, pierwszy lepszy będzie w stanie Ci powiedzieć o tym co typ był w stanie zrobić takim kodem.

Aktualizacja:
Pieka nie życzy sobie takich kodów forum, oberwało mi się właśnie na gg.
Wyślij to komuś. Mnie nie będzie do poniedziałku.
Edytowane przez Grzes dnia 07.01.2009 22:33:06
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
Seba0p
Podeślij mi te pliki na PW.
 
http://seba0p.pl
Chemikpil
Mam podobny problem lecz różni się tym że co jakiś czas do pliku index.php dopisuje mi na samym końcu kod z linkami. Czy to wina tego że mam coś w bazie? Usuwałem już wszystkie pliki na stronie i wgrywałem jeszcze raz.
 
www.chemikpil.pl
hoopak
Przeczytaj ten temat, zastosuj się do wskazówek które tu podaliśmy. Jeśli problem będzie się powtarzał daj znać.
 
www.hoopak.pl
jaca19
Chyba będzie bezpieczniej jak nikomu tego nie wyśle Pfft..Pieka ma racje..
 
mail
Co nie wyślesz??
 
bartek124
W sumie to lepiej, ktoś mógłby się potem tym zacząć bawić...

Jeśli kodem tego pliku jest ciąg różnych znaków, to już wiadomo co to jest. Tego samego narzędzia niedawno używano do włamań.
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
jaca19
Jeden jest bardzo prosty..A drugi już zaawansowany..
 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl