Шелл код на форуме.

[HelloWorld]

Дело в том что его почистили. С другими сайтами норм. Работают исправно. Проверили шеллов нет и подозрения на них тоже.


Я их взял в папке infected_files туда ав сливает что найдет.

Файлы левые, не движка xenforo, скорее всего попали с других сайтов. Шеллов там может и не быть, а дырок возможно хватает, одна убранная кавычка в нужном месте для хакера уязвимость, а для антивирусов и не кодеров вполне исправный код.

 

[Алехандро]

Алехандро, я имею ввиду отсюда скачайте сейчас и проверьте архивы на наличие этих файлов :-)

Они есть зачем качать:thumbsup:

Файлы левые, не движка xenforo, скорее всего попали с других сайтов. Шеллов там может и не быть, а дырок возможно хватает, одна убранная кавычка в нужном месте для хакера уязвимость, а для антивирусов и не кодеров вполне исправный код.

я это понимаю.

 

[Hope]

Ну вот и проверьте их на наличие левых файлов.

 

[Arisu]

плагины

Не факт.

С другими сайтами норм.

Не факт.

С другими сайтами норм. Работают исправно. Проверили шеллов нет и подозрения на них тоже.

Ищите тогда, где у вас пароли утечь могли. Другие cms помимо xenforo на сайте стояли? Какие были права на файлах и директориях? Имя хостера тоже в студию.

 

[Алехандро]

Не факт.

Не факт.


Ищите тогда, где у вас пароли утечь могли. Другие cms помимо xenforo на сайте стояли? Какие были права на файлах и директориях? Имя хостера тоже в студию.

Права по умолчанию. Перерыл архи домашней папки сервера нет там таких файлов. Смотрю уязвимости в движке. Тут либо дефейз и заливка через скуль либо инъекция php. Утечь они не могли, сбрутить тоже. Хостер хороший.

 

[Arisu]

Права по умолчанию.

Интересует конкретная цифра и пользователь, которому принадлежат файлы "по умолчанию". И название хостинга. Потому что это повод задуматься о "хорошести" хостинга. Да, кстати, это вообще был шаред хостинг или выделенный сервер?

Вариантов, в общем-то, немного.
1) у вас с компьютера украли пароль от фтп и воспользовались им;
2) у хостера (если впс - у вас) неправильные настройки прав для доступа к файлам и их выполнения (www-data, 777 и т.п.), и другой сайт извне мог записать вам эти файлы;
3) дыра в другой cms на этом же аккаунте.

В xenForo можете не искать, в ней ввод фильтруется, а запросы экранируются.

 

[Алехандро]

Интересует конкретная цифра и пользователь, которому принадлежат файлы "по умолчанию". И название хостинга. Потому что это повод задуматься о "хорошести" хостинга. Да, кстати, это вообще был шаред хостинг или выделенный сервер?

Вариантов, в общем-то, немного.
1) у вас с компьютера украли пароль от фтп и воспользовались им;
2) у хостера (если впс - у вас) неправильные настройки прав для доступа к файлам и их выполнения (www-data, 777 и т.п.), и другой сайт извне мог записать вам эти файлы;
3) дыра в другой cms на этом же аккаунте.

В xenForo можете не искать, в ней ввод фильтруется, а запросы экранируются.

На этом хостинге два сайта оба на XF. С пк не украсть пароль так как его нет. И если уж захотят дернуть с пк то нужно потрудиться так как у меня не WIN, и что не мало важно я не баран:whistling: при необходимости сам могу навредить хуже в сотни раз:sneaky:
Не выделенный, на выделенный позже переедим.

Чат заработал, при этом я ничего не делал и картинки появились.

 

[Mirovinger]

Чат заработал, при этом я ничего не делал и картинки появились.

Как же права на каталоги, про смену которых говорилось в теме чата, да и там сказано, что картинки отсутствовали.

 

[Arisu]

На этом хостинге два сайта оба на XF. С пк не украсть пароль так как его нет. И если уж захотят дернуть с пк то нужно потрудиться так как у меня не WIN, и что не мало важно я не баран:whistling: при необходимости сам могу навредить хуже в сотни раз:sneaky:
Не выделенный, на выделенный позже переедим.

С этим все понятно, так кому же все таки принадлежат файлы, какие стоят права на директории и как называется хостинг? Спрашиваю последний раз.

 

[Алехандро]

Кто то говорил сканировать не стоит, это автоматическое сканирование. В ручном режиме можно нарыть больше.


Ну раз последний раз то держи kubez.biz права норм.

Ответ на вопрос от куда были перемещены файлы два скрипта это

Файлы были перемещены из
/public_html/library/Dark/TaigaChat/ViewPublic/TaigaChat

 

[sonic]

в архиве тайга чата этих файлов нету..откуда вы его качали там и спрашивайте откуда они там.

 

[Алехандро]

в архиве тайга чата этих файлов нету..откуда вы его качали там и спрашивайте откуда они там.

1) тот что бесплатный тут
2) Тот что про тоже дали тут)
Уж то что я не качал этот чат с других ресурсов это 100% я о нем только здесь узнал.
Не обязательно должны быть файлы, их может бегдор подгружать :sneaky:

 

[sonic]

мда.. какой бекдор??? покажи его.. почему этот же чат тут стоит и ресурс таки не на последнем месте его до сих пор не поломали?

 

[Алехандро]

мда.. какой бекдор??? покажи его.. почему этот же чат тут стоит и ресурс таки не на последнем месте его до сих пор не поломали?

Если найду покажу.

 

[HelloWorld]

Если найду покажу.

Думаю не стоит эту тему вообще раздувать, если что найдешь лучше в личку администрации отправляй.

P.s. Скули найденные я чекнул, они в основном в токене, а он на лету генерируется и к базе особого отношения не имеет. Но чем черт не шутит.

 

[Mirovinger]

1) тот что бесплатный тут
2) Тот что про тоже дали тут)
Уж то что я не качал этот чат с других ресурсов это 100% я о нем только здесь узнал.
Не обязательно должны быть файлы, их может бегдор подгружать :sneaky:

На это, могу ответить, что не в бесплатной, не в той которую вручил, таковых файлов нет и быть не могло, я не враг себе.
Так что, вероятнее всего, их или не там обнаружили, а если и там, то они там появились не из архива с дополнением.

 

[Алехандро]

Думаю не стоит эту тему вообще раздувать, если что найдешь лучше в личку администрации отправляй.

P.s. Скули найденные я чекнул, они в основном в токене, а он на лету генерируется и к базе особого отношения не имеет. Но чем черт не шутит.

я вижу что тонкие, точней слепые.

На это, могу ответить, что не в бесплатной, не в той которую вручил, таковых файлов нет и быть не могло, я не враг себе.
Так что, вероятнее всего, их или не там обнаружили, а если и там, то они там появились не из архива с дополнением.

Я никого не в чем не обвинил.

 

[Mirovinger]

Я никого не в чем не обвинил.

Та я и не говорил об этом, линк с архивом сохранился (с датой заливки - 24 сентября 2014, 15:08), так что при желании, можно перепроверить.

 

[Алехандро]

Та я и не говорил об этом, линк с архивом сохранился (с датой заливки - 24 сентября 2014, 15:08), так что при желании, можно перепроверить.

Он у меня есть.

 

[Arisu]

Кто то говорил сканировать не стоит, это автоматическое сканирование. В ручном режиме можно нарыть больше.

Сначала покажите, как csrf-токен изменяет содержимое страницы на предсказуемое :lol: С таким успехом я могу сказать, что если ввести другой урл, то она тоже изменится , и что это уязвимость :lol: :lol: :lol:

Файлы были перемещены из
/public_html/library/Dark/TaigaChat/ViewPublic/TaigaChat

Таких файлов нету в дистрибутиве чата на этом сайте.

Ну раз последний раз то держи kubez.biz права норм.

"Права норм" - это не ответ. Меня интересует числовое значение, в частности, наличие бита записи на директориях. Наверняка у вас library/ открыта на запись для всего мира, не удивляйтесь что вам накидали шеллов откуда-то, возможно извне или еще откуда.

Очень веселый хостинг. Удалили мой тестовый аккаунт после того как я добрался до шелла. Видимо, почуяли что-то неладное. :lol: