Несанкционированная установка кода SAPE.RU на сайт www.kupibt.ru

treeo · 20.11.2007, 23:16

Добрый день!

Я администратор сайта www.kupibt.ru, размещенного на хостинге skyweb.

Сегодня выяснилось, что в три файла моего сайта внедрены фрагменты кода:

<dIv style=display:none><?php
define('_SAPE_USER', '0c1f5b18fefe25fcf93be90304fd4733');
require_once($_SERVER['DOCUMENT_ROOT'].'/'.'cfg'.'/'.'tpl'.'/'._SAPE_USER.'/sape.php');
$sape = new SAPE_client();
echo $sape->return_links();
?>
</dIv>

Кроме того, в том же каталоге 17/11/2007 создана папка
0c1f5b18fefe25fcf93be90304fd4733 с файлами links.db и sape.php.

Я не размещала данную информацию на своем сайте!

Вопрос к службе поддержки сервиса SAPE: Кто получил данный уникальный номер
папки для размещения кода?

new · 20.11.2007, 23:25

treeo

И заодно ищите кто у вас на ФТП лазает. Или взлом, или "добросовестный" админ, который имеет туда доступ.

Avelon · 20.11.2007, 23:30

вас банально взломали через троян. случай. к сожалению крайне частый в рунете.

приведите пожалуйста доказательства владения данным доменом/сайтом, я удалю сайт из системы и вышлю информацию, ту которую имею, по взломщику.

PS. следите за своими сайтами, не ловите троянов.

Avelon · 20.11.2007, 23:30

или да, ктото из ваших админов втихаря работает.

treeo · 20.11.2007, 23:34

Цитата:

Сообщение от Avelon

вас банально взломали через троян. случай. к сожалению крайне частый в рунете.

приведите пожалуйста доказательства владения данным доменом/сайтом, я удалю сайт из системы и вышлю информацию, ту которую имею, по взломщику.

PS. следите за своими сайтами, не ловите троянов.

Вышлите, пожалуйста, информацию по взломщику на адрес info@kupibt.ru или на мой адрес в профиле (не указываю явно - "антиспам").

Если ящика на домене недостаточно, какие доказательства можно предъявить?

treeo · 21.11.2007, 00:06

2 Avelon

Извините, Вы ничего еще не отправляли или наши хостеры оперативно удалили Ваше письмо ?

P.S. Не подумайте, что я подозреваю хостеров в чем-то плохом

Lenka · 21.11.2007, 00:10

2treeo
не думаю, что информация от Авелона хоть чем-то поможет - если это действительно злоумышленник, то вряд ли он ввел свои реальные данные при регистрации в Сапе.

Что можно сделать:
1)проверьте дату и время создания файла sape.php и модификации файлов, в которые был вставлен код.
2)посмотрите по логам сервера кто (IP адрес должен быть в логах, как минимум) подключался в это время и, если позволяют логи, то что он делал на сервере.
3)проверьте кому принадлежит этот IP адрес (ripn.net)
4)обратитесь к владельцу подсети, в которую входит этот адрес (провайдеру, например) для дальнейших разборок.
5)и, конечно, смените все пароли для доступа к серверу

Удачи!

treeo · 21.11.2007, 00:14

Цитата:

Сообщение от Lenka

2treeo
не думаю, что информация от Авелона хоть чем-то поможет - если это действительно злоумышленник, то вряд ли он ввел свои реальные данные при регистрации в Сапе.

Что можно сделать:
1)проверьте дату и время создания файла sape.php и модификации файлов, в которые был вставлен код.
2)посмотрите по логам сервера кто (IP адрес должен быть в логах, как минимум) подключался в это время и, если позволяют логи, то что он делал на сервере.
3)проверьте кому принадлежит этот IP адрес (ripn.net)
4)обратитесь к владельцу подсети, в которую входит этот адрес (провайдеру, например) для дальнейших разборок.
5)и, конечно, смените все пароли для доступа к серверу

Удачи!

Спасибо за совет, все это уже проделали (IP как утверждается случайный, пароль сменили)
Надеемся получить e-mail шутника и номер его кошелька (будем платить за услуги

)

Lenka · 21.11.2007, 00:20

Случайных IP не бывает, бывают динамические

По запросу органов провайдер вам предоставит логи по этому IP. Или Вы частным образом мстить решили?

Anatoly · 21.11.2007, 07:05

Когда я вижу, с какой регулярностью создаются подобные темы, мне за державу обидно... Неужели так трудно следить за элементарной безопасностью?

20.11.2007, 23:16	#1
treeo Новичок Регистрация: 20.11.2007 Сообщений: 7 Вес репутации: 0	Несанкционированная установка кода SAPE.RU на сайт www.kupibt.ru Добрый день! Я администратор сайта www.kupibt.ru, размещенного на хостинге skyweb. Сегодня выяснилось, что в три файла моего сайта внедрены фрагменты кода: <dIv style=display:none><?php define('_SAPE_USER', '0c1f5b18fefe25fcf93be90304fd4733'); require_once($_SERVER['DOCUMENT_ROOT'].'/'.'cfg'.'/'.'tpl'.'/'._SAPE_USER.'/sape.php'); $sape = new SAPE_client(); echo $sape->return_links(); ?> </dIv> Кроме того, в том же каталоге 17/11/2007 создана папка 0c1f5b18fefe25fcf93be90304fd4733 с файлами links.db и sape.php. Я не размещала данную информацию на своем сайте! Вопрос к службе поддержки сервиса SAPE: Кто получил данный уникальный номер папки для размещения кода?

21.11.2007, 00:10	#7
Lenka Мастер Регистрация: 06.08.2007 Сообщений: 739 Вес репутации: 236	2treeo не думаю, что информация от Авелона хоть чем-то поможет - если это действительно злоумышленник, то вряд ли он ввел свои реальные данные при регистрации в Сапе. Что можно сделать: 1)проверьте дату и время создания файла sape.php и модификации файлов, в которые был вставлен код. 2)посмотрите по логам сервера кто (IP адрес должен быть в логах, как минимум) подключался в это время и, если позволяют логи, то что он делал на сервере. 3)проверьте кому принадлежит этот IP адрес (ripn.net) 4)обратитесь к владельцу подсети, в которую входит этот адрес (провайдеру, например) для дальнейших разборок. 5)и, конечно, смените все пароли для доступа к серверу Удачи! __________________ Тестник, это то же самое что Сонник, только для тестов! Сайт бесплатных психологических тестов.

21.11.2007, 00:20	#9
Lenka Мастер Регистрация: 06.08.2007 Сообщений: 739 Вес репутации: 236	Случайных IP не бывает, бывают динамические По запросу органов провайдер вам предоставит логи по этому IP. Или Вы частным образом мстить решили? __________________ Тестник, это то же самое что Сонник, только для тестов! Сайт бесплатных психологических тестов.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Установка кода sape на bit-torrent TBDev	Overoff	Установка кода на различные движки	5	20.08.2011 17:40
Установка кода SAPE на движок scanerlink	ALUKART	Установка кода на различные движки	0	08.03.2008 13:02
Установка кода на asp.net сайт	igorus	Установка кода на различные движки	0	15.02.2008 13:52
Установка кода на сайт...	eagle_spb	Установка кода на различные движки	8	02.02.2008 16:54
Установка кода sape в PHP движок с шаблонами .tpl	Продавец	Вопросы по работе системы	1	18.07.2007 11:17

20.11.2007, 23:25	#2
new Мастер Регистрация: 25.06.2007 Сообщений: 665 Вес репутации: 232	treeo И заодно ищите кто у вас на ФТП лазает. Или взлом, или "добросовестный" админ, который имеет туда доступ.

20.11.2007, 23:30	#3
Avelon Администратор Регистрация: 22.11.2006 Сообщений: 5,868 Вес репутации: 21475166	вас банально взломали через троян. случай. к сожалению крайне частый в рунете. приведите пожалуйста доказательства владения данным доменом/сайтом, я удалю сайт из системы и вышлю информацию, ту которую имею, по взломщику. PS. следите за своими сайтами, не ловите троянов.

21.11.2007, 00:06	#6
treeo Новичок Регистрация: 20.11.2007 Сообщений: 7 Вес репутации: 0	2 Avelon Извините, Вы ничего еще не отправляли или наши хостеры оперативно удалили Ваше письмо ? P.S. Не подумайте, что я подозреваю хостеров в чем-то плохом

21.11.2007, 07:05	#10
Anatoly Эксперт Регистрация: 04.06.2007 Сообщений: 1,448 Вес репутации: 267	Когда я вижу, с какой регулярностью создаются подобные темы, мне за державу обидно... Неужели так трудно следить за элементарной безопасностью?