• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.     Помогите модератору этого раздела killoff лично.

Помощь [help] Залили шел на сайт

Статус
В этой теме нельзя размещать новые ответы.
gruppastimul

gruppastimul

Ваш
Регистрация
22 Окт 2006
Сообщения
800
Реакции
149
Залили шел на сайт.
Движок версия 6.2.
Обноружил случайно - хотел посмотреть последнии комментарии - вместо комментов увидел шел ))
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.


как узнать через что могли залить шел ?
Шел - DxShell v1.0b (by o_O Tync)
когда и кем ))
 
заходил он с ip 90.151.1.189 сегодня 30/12/2007 - 13:59
понял я это так как в системе 27 декабря был создан второй логин администратора (без e-mail - проверял по mysql)

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
 
шел был залит кем то в один из комментариев пользователя (знаю что не пользователь сам это сделал ибо я до этого этот коммент видел и там не было шела - да и пользователь этот не смог бы такого сделать)

а было вставлено
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

причем я пробовал написать коммент с таким текстом - он его не хватает как пхп а выводит как текст

получается залили шел через базу данных ? но тогда как
 
Хм тоже интересно..
 
Очень интересно конечно получается.
Сам шелл грузится с другого сайта как при пхп инъекции, в то же время, инъекция могла быть произведена через БД.
1. Бажный скрипт (поиск в багтреках и на наличие приватных сплойтов).
2. Возможно какой то сервисный скрипт для бэкапа и т.д (внимательно смотрим на перминины папок, куда вероятно можно что то залить и соответственно на скрипты, которые могут что то заливать и сохранять).
3. Дырявый хостер (можно было конечно через шелл взглянуть на окружение с корня сервера, насколько криво может быть настроен сервак).

P.S. Уж больно честно выглядит айпишник, для такого фронта работ. Маловероятно, что чел без прокси создавал админа или же вариант вплоть до подмены лога.
Посмотри лог своих заходов в админку.
Можно конечно рассмотреть вариант увода кукисов с помощью XSS или увода троем паса на админку.
 
увод паса админа и вставка в базу данных как то не состыковыватся
 
а может взломали хостера, а как копию шэла к тебе в папочку положили. я например тоже так делаю, на один залью, а на 3 других копий наделаю, чтоб жил дольше, а когда заливаешь то совсем плевать ДЛЕ это или нет, главное чтоб папки с правами подходящими были.
 
нее шел останавливается на моей дирректории на список других сайтов не переходит
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху