От куда гугл мог брать такие запросы? Что происходило?

Alster Ego · 18 октября 2010, 23:10:22

От куда гугл мог брать такие запросы? Что происходило?

К примеру

"/FCKeditor/editor/config.php?news=how-to-get-a-copy-of-high-school-diploma"
"/FCKeditor/editor/config.php?news=michael-jackson-myspace-backgrounds"

и тому подобное, идут постоянно около суток.

Установлен SMF 1.1.11 | на нем TinyPortal v0.9.8, сам FCKeditor отлючен в настройках и папку FCKeditor сейчас удалил.

Перед этим было сообщение от StopBadware что сайт может быть потенциально опасным. Было сообщение "подозрительное содержание было обнаружено 2010-10-17. Malicious software includes 9 scripting exploit(s), 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine."
Сейчас это сообщение уже не появляется

Как это удалось? Нашли уязвимость в TinyPortal или в FCKeditor?

Да еще посторонний прошел верификацию от гугля на сайт создав НТМL в корне, верификацию я убил, по логам не могу найти каким образом удалось его создать, написал хостерам. жду ответа от них так же.

Заранее спасибо.

Макар · 18 октября 2010, 23:18:59

Получается в конфиге редактора была уязвимость .

Alster Ego · 18 октября 2010, 23:27:23

Цитата: Makar от 18 октября 2010, 23:18:59
Получается в конфиге редактора была уязвимость .

У редактора нет такого файла и не было

Ответ хостера: мы не нашли тот файл, о котором вы упоминали в логах также ничего нет о его создании, есть только запись о его удалении Вами... Следующий раз, если это повторится не удаляйте, не открывайте, и не переносите его, а сразу сообщите нам (примерный перевод буржуйского хостера) хе хе

ну так далее. Ладно посмотрим что дальше.

Кстати, у меня есть данные человека, которые прошел верификацию , не знаю на сколько они правдивы, есть майл, адрес и тел. Чел из техподдержки одного неработающего Российского хостера.

Mr.Hide · 18 октября 2010, 23:45:24

Я вообще вот что в папке subs нашел: 2by2host_install.php скрипт. Ума не приложу что это, и откуда он? Могу приаттачить, взглянете?

Alster Ego · 19 октября 2010, 00:20:54

Вот что еще нашел

Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.

BIOHAZARD · 19 октября 2010, 04:10:39

Цитата: Mr.Hide от 18 октября 2010, 23:45:24
Я вообще вот что в папке subs нашел: 2by2host_install.php скрипт. Ума не приложу что это, и откуда он? Могу приаттачить, взглянете?

twitter mod

0daliska · 19 октября 2010, 17:35:37

Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.

Ну, при попытке скачать сей файл, у меня аваст матюгнулся на
Sign of "PHP:Shell-AA [Trj]" has been found in "http://www.simplemachines.ru/index.php?action=dlattach;topic=11321.0;attach=6135\conf.php" file.
В общем, скачать сей файл не судьба - точно...

Alster Ego · 20 октября 2010, 21:21:17

мда, удивительным образом папка FCKeditor появилась снова... опять со спам скриптами. Видимо от шелла не избавился..

Stern · 21 августа 2011, 11:26:57

Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.

Хоть древняя тема, но это действительно интересно!
Это довольно-таки серъёзный шелл
wso2
только вчера с ним познакомился на одном из своих проектов - в логах нашёл сообщение (от 13 июля 2011) о попытке залить на форум файл wso2.php
Вот тут подробности.

Кстати, года два назад через то ли tp-images, то ли tp-downloads на другой проект также был залит шелл - где-то на форуме есть темка.

Stern · 21 сентября 2011, 06:15:26

Цитата: Alster Ego от 19 октября 2010, 00:20:54
Вот что еще нашел Было тут - /tp-images/Image/conf.php

Если кому интересно. Особенно код.

Мавн, убей вложение!