самовольно появился второй администратор

igorskee · 20 ноября 2007, 15:27:04

стоит версия 1.1.2
два раза самовольно появлялся "второй администратор". первый раз безболезнено, второй раз им оказалось лицо вполне заинтересованное и сделало спам рассылку.

права я у него убил и движок обновил (что теперь буду делать регулярнее). а еще в процессе нашел в индексе инклуд со стороннего сайта и обнаружил файл с именем snif

подскажите пожалуйста - могут эти две вещи быть связаны между собой и ГЛАВНОЕ
как лучше защитить доступ к админ части

Mavn · 20 ноября 2007, 15:42:45

1. Проверь компутер на вирусняк.
2. Просмотри логи доступа апача чтобы выяснить как прозошел доступ в админку.
3. Если используешь какие то дополнительные скрипты то смотри их возможно через них получили доступ к твоему хосту.

igorskee · 20 ноября 2007, 18:54:57

В логах ничего подозрительного найти не смог.
Хостер подсказал что это может быть вирус через фтп клиент залез.
На машине было несколько червей в "лекарствах" к антивирям.

Вобщем еще сражаюсь. Хочу всетаки узнать истину. Спасибо за советы.

bbs · 22 ноября 2007, 00:17:11

Цитата: igorskee от 20 ноября 2007, 18:54:57
Хостер подсказал что это может быть вирус через фтп клиент залез.
На машине было несколько червей в "лекарствах" к антивирям.

Вобщем еще сражаюсь. Хочу всетаки узнать истину. Спасибо за советы.

Вот это и есть истина

igorskee · 22 ноября 2007, 00:54:18

истина то она истина..
но я проигнорил ранее червей которые обнаружились в архиве..думал что они безвредны..
ЛЮДИ НЕ ИГНОРИРУЙТЕ результатов антивиря. грохайте все (копируя в карантин).

Lysyj · 22 ноября 2007, 04:25:12

наверно где то переменные в модах были не обработаны.Да и могли просто иньекцию зделать или залить к тебе на сайт шелл.а потом уже и через шелл закидывать что угодно.
PS.вроде бы нет в форуме файла snif

Mavn · 22 ноября 2007, 10:05:50

Цитата: Lysyj от 22 ноября 2007, 04:25:12
PS.вроде бы нет в форуме файла snif

не вроде бы а точно нет. Просто при помощи данного файла можно получить любую информацию которая проходила через форум. Все сообщения пароли логины и все остальное.

Evgeny-56 · 30 ноября 2007, 16:52:37

Мне пользователи через неделю начали жаловаться, что не пароли не подходят, когда начал разбираться, то в различных директориях форума нашел шпионов. Обычная фишинг-атака. Каспер IS вполне удачно избавил от сей неприятности.