Помогите., пожалуйста. Сил нет

Помогите., пожалуйста. Сил нет, Хакеры спасть де дают, сайты мои ломают

Юджин

Guest

Это нравится:0 Да/0 Нет

27.01.2011 21:31:58

Здравствуйте форумчане!
Прошу помощи у вас т.к. сил бороться с этими америкоскими уродами уже нет. Да и знаний для этого у меня слишком мало.
Уже 3 дня мои сайты (9 штук, все у одного хостера - блюхост) регулярно ломают, то хакеры (или как их назвать?) одни то другие. Вначале просто стартовые свои поставили ( типа взломал Вася Пупкин) - Hacked By Dotexe потом Hacked by Sàlâh BôôsS. А потом херню всякую начали на сайты заливать, так что хостер мой аккаунт закрыл. Вроде как за фишинг.
При обращениях в сапорт мне посоветовали, что-то вроде "проверь свой комп на вирусы".
Это конечно хороший совет, но не помогло

Сайты чистил несколько раз, но все повнорялось.
Закрывал доступ к сайтам чуть ли не всем странам. И все равно. Вот и сейчас продолжается. Вот кусочек лога, надеюсь вы сможете дать мне грамотный совет:

Код

[Thu Jan 27 10:52:54 2011] [error] [client 65.52.21.120] * About to connect() to 24365online.com port 80 (#0) [Thu Jan 27 10:52:54 2011] [error] [client 65.52.21.120] * Trying 174.122.226.66... [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] * connected [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] * Connected to 24365online.com (174.122.226.66) port 80 (#0) [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] > POST /link_files/T09LGRCNBME61TZI1C4D-2634.hwe HTTP/1.1\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] Host: 24365online.com\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] Accept: */*\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] Content-Length: 1\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] Content-Type: application/x-www-form-urlencoded\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] \r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < HTTP/1.1 404 Not Found\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Date: Thu, 27 Jan 2011 17:52:53 GMT\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Server: Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8m DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Last-Modified: Fri, 05 Nov 2010 04:30:14 GMT\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < ETag: "170007d-1-49446bb124180"\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Accept-Ranges: bytes\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Content-Length: 1\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < Content-Type: text/plain\r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] < \r [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] * Connection #0 to host 24365online.com left intact [Thu Jan 27 10:52:55 2011] [error] [client 65.52.21.120] * Closing connection #0 [Thu Jan 27 10:52:55 2011] [error] [client 200.147.33.136] PHP Warning: PHP Startup: Unable to load dynamic library 'c:\\php\\ext/magickwand.so' - c:\\php\\ext/magickwand.so: cannot open shared object file: No such file or directory in Unknown on line 0 [Thu Jan 27 10:52:56 2011] [error] [client 147.11.156.87] PHP Warning: PHP Startup: Unable to load dynamic library './magickwand.so' - ./magickwand.so: cannot open shared object file: No such file or directory in Unknown on line 0, referer: http://forums.penny-arcade.com/showthread.php?t=128234&page=40

Заранее спасибо

phoenix

Guest

Это нравится:0 Да/0 Нет

27.01.2011 22:01:24

Во первых, не дублируйте темы
Во вторых, дайте лог в удобочитаемом виде
В третий, я бы согласился с провайдером, что взлом произошел по причине вашего заражения вирусом (на данный момент это наиболее частая причина)
В четвертых, соответственно просканируйте свой компьютер и компьютер всех, кто имел доступ к сайту - антивирусом. Лучше несколькими. Например бесплатный дрвебовским СureIt
В пятых, после этого смените ВСЕ пароли, имеющие отношения к сайту (фтп/ssh, доступ в админку, доступ к базе данных и т.п.)
В шестых, если не поможет, подробнее опишите как происходит взлом - изменение базы данных или файлов
В седьмых, смените хостинг!
Ну и если все это не поможет, то надо искать дыры в движке - эту проблему в пределах обсуждения на форуме, боюсь не решить...

Юджин

Guest

Это нравится:0 Да/0 Нет

27.01.2011 22:23:18

Спасибо за советы.
За дублирование извиняюсь. Интернет глюкнул, и я два раза отправил случайно.

Вот кусочек лога:

Код

[Thu Jan 27 11:52:57 2011] [error] [client 72.198.217.225] PHP Warning: Cannot open 'browscap.ini' for reading in Unknown on line 0, referer: http://forums.penny-arcade.com/showthread.php?p=18134067 
[Thu Jan 27 11:52:57 2011] [warn] Cannot get media type fr om 'x-mapp-php5' 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * About to connect() to 24365online.com port 80 (#0) 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * Trying 174.122.226.66... 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * connected 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * Connected to 24365online.com (174.122.226.66) port 80 (#0) 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] > POST /link_files/T09LGRCNBME61TZI1C4D-2638.hwe HTTP/1.1\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] Host: 24365online.com\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] Accept: */*\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] Content-Length: 1\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] Content-Type: application/x-www-form-urlencoded\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] \r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < HTTP/1.1 404 Not Found\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Date: Thu, 27 Jan 2011 18:52:56 GMT\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Server: Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8m DAV/2 mod_auth_passthrough/2.1 mod_bwlim ited/1.4 FrontPage/5.0.2.2635\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Last-Modified: Fri, 05 Nov 2010 04:30:14 GMT\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < ETag: "170007d-1-49446bb124180"\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Accept-Ranges: bytes\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Content-Length: 1\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] < Content-Type: text/plain\r 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * Connection #0 to host 24365online.com left intact 
[Thu Jan 27 11:52:58 2011] [error] [client 184.73.68.97] * Closing connection #0 
[Thu Jan 27 11:52:58 2011] [warn] RewriteCond: NoCase option for non-regex pattern '-f' is not supported and will be ignored. 
[Thu Jan 27 11:52:59 2011] [error] [client 201.24.86.208] PHP Warning: PHP Startup: Unable to load dynamic library 'c:\\php\\ext/magickwand.so' - c:\\php\\ext/magickwand.so: cannot open shared object file: No such file or directory in Unknown on line 0, referer: http://www.aninhacamelo.com.br/index.php?blog=2&p=2470&more=1&c=1&tb=1&pb=1

Комп сканировал. Пароли менял. Не помогло :cry:

Взлом происходит изменением файлов, созданием новых. Базы не трогают вроде.

Юджин

Guest

Это нравится:0 Да/0 Нет

27.01.2011 22:53:15

Изменил в php.ini
allow_url_fopen на Off
и добавил disable_functions =exec, system, passthru, shell_exec, sh2_exec,escapeshellarg, escapeshellcmd, proc_nice, proc_open, popen,pcntl_exec, dl,dlopen,ini_restore, socket_create_listen, socket_create, stream_socket_client,stream_socket_server,pfsockopen, disk_total_space,disk_free_space,diskfreespace,getrusage,get_current_user, chdir, chown ,chgrp, chmod, getmyuid,getmypid, posix_getpwuid,posix_getgrgid,posix_kill,posix_kill, link,symlink, posix_mkfifo, putenv, com_load, com_load_typelib, dotnet_load, virtual, apache_note, apache_lookup_uri
и если нет операций с файлами, то ещё fopen,dir,opendir
Надеюсь немного поможет.

что эта строка лога может значить? :
[Thu Jan 27 11:52:59 2011] [error] [client 201.24.86.208] PHP Warning: PHP Startup: Unable to load dynamic library 'c:\\php\\ext/magickwand.so' - c:\\php\\ext/magickwand.so: cannot open shared object file: No such file or directory in Unknown on line 0, referer: http://www.aninhacamelo.com.br/index.php?blog=2&p=2470&more=1&c=1&tb=1&pb=1

Юджин Guest	#5 Это нравится:0 Да/0 Нет 28.01.2011 12:25:42 На ночь закрыл доступ всем в .htaccess Судя по логам это ничего не дало. А утром обнаружил созданную папку cgi-bin с файликами

Юджин Guest	#6 Это нравится:0 Да/0 Нет 29.01.2011 00:28:29 Даж не знаю чё я здесь вопрос задал. Ответить некому, а у сайта и у самого проблемы, через раз доступен. В любом случае Феникс спасибо.

SOLDIER

Guest

Это нравится:0 Да/0 Нет

29.01.2011 09:21:26

Проблема не в сайте. И уже тем более - не в форуме. Проблема - в Вас. Ваших знаний и умения явно недостаточно не только для создания и содержания подобного сайта, а даже для предоставления нужной информации. Копаться за Вас в настройках самого сайта и разбираться в Ваших скриптах вряд ли кто-то будет. А того, что Вы привели явно недостаточно, чтобы найти причину. Тем не менее, Phoenix выдал Вам максимум того, что можно было посоветовать. Все остальное лежит вне пределов человеческих возможностей, потому что предполагает у советующего наличие ясновидения и возможность связи с потусторонними силами.

Цитата

Юджин пишет:
что эта строка лога может значить? : [Thu Jan 27 11:52:59 2011] [error] [client 201.24.86.208] PHP Warning: PHP Startup: Unable to load dynamic library 'c:\\php\\ext/magickwand.so' - c:\\php\\ext/magickwand.so: cannot open shared object file: No such file or directory in Unknown on line 0, referer: http://www.aninhacamelo.com.br/index....&tb=1&pb=1

Это строчка значит, что у вас нет необходимой динамической библиотеки. Которая почему-то необходима, чтобы сработала некая внешняя ссылка с бразильского сайта, которая почему-то ведет на Ваш сайт. Если не ошибаюсь, эта библиотека связана с софтиной ImageMagic. На кой черт она нужна в данном конкретном случае - понятия не имею.

0per Guest	#8 Это нравится:0 Да/0 Нет 31.01.2011 01:31:13 Юджин, если еще актуально могу помочь. Как условие твои сайты это не игры виагра и тд. Ну ты понял. Изменено: 0per - 31.01.2011 01:35:03

Юджин

Guest

Это нравится:0 Да/0 Нет

31.01.2011 14:34:27

Сайты абсолютно нормальные. Маленькие сайты компаний, с маленькой посещаемостью. Противоправные действия (как я думаю судя по логам (кусок лога размещал уже)) продолжаются. Но вроде сайты не ломаются.
А как помочь можете? Советом? По финансам не богат

phoenix

Guest

#10

Это нравится:0 Да/0 Нет

31.01.2011 14:42:13

ВО первых, что жто за лог такой??
могу предположить что это error.log
покажите access.log
по логам, возможно какой то коннект к бекшеллу...
очень интересен именно аксес.лог, посмотреть, из какого скрипта коннектились.
Не исключено, на сайте сидит какой то бекдор, и через него и ломают.
Проведите ревизию всех файлов сайта. Обращайте внимание не только на новые неизвестные файлы, но и новые куски кода в существующих скриптах. Раз сайт не большой, то таких файлов будет немного.

0per

Guest

#11

Это нравится:0 Да/0 Нет

31.01.2011 15:08:07

Цитата
Юджин пишет: По финансам не богат

а я и имел ввиду бесплатную помощь... icq,jabber есть? сообщите в приват.

Юджин Guest	#12 Это нравится:0 Да/0 Нет 31.01.2011 15:14:43 Спасибо заранее ))) Есть же люди!

Юджин Guest	#13 Это нравится:0 Да/0 Нет 01.02.2011 16:01:10 0per, огромное человеческое Вам СПАСИБО. Всё помог, объяснил, посоветовал и даже уязвимости на сайтах нашел. Действительно, есть же хорошие люди.

[mad]Mega Guest	#14 Это нравится:0 Да/0 Нет 01.02.2011 17:31:45 ну коли уязвимостей нет, не подскажите что за они были?

Юджин Guest	#15 Это нравится:0 Да/0 Нет 01.02.2011 22:50:31 Была XSS в компоненте ninjarsssyndicator (joomla), несколько уязвимостей в шоп скрипте, неправильные права на файлы и папки и др.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?