Помогите прочесть Логи

[Styvoin]

Ну содержимое файла, по крайней мере то, что он туда пишет я привел выше. Он же потом удаляет сайт. А это я так понимаю, то что изначально в нём. Вот он подключается

timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:04 +0300] "GET / HTTP/1.1" 200 7269 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 302 286 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 200 6748 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"

Почему у него при первом обращении к /ga ошибка 302, а следующий выполняется успешно. Далее /qa/?qa=image&qa_blobid=17976891549743361547&qa_size=200 также дает ошибку 302, как и остальные его попытку с таким же запросом. Но после он пишет в файл /qa/?file&log_file=logs-list.php&log=(код), который оканчивается 200 успехом! Ищите класс, функцию, которая позволяет это делать. /ga это магазин у вас? Типа ga/?file это ищите, класс, функция которые обрабатывают этот запрос. Я не знаю этот фреймворк. Уверен это лишь одна из щелей откуда дует. Вообще если бы он хотел заработать, то связался бы с вами и предложил бы за плату исправить уязвимость.

Да весело конечно все.
/qa это раздел помощи там другой скрипт стоит Question2Answer скрипт вопросов ответов. Просто немного переделал его.
То есть я так понял он с помощью logs-list.php заливал шелл?

 

[sindrom1974]

Да весело конечно все.
/qa это раздел помощи там другой скрипт стоит Question2Answer скрипт вопросов ответов. Просто немного переделал его.
То есть я так понял он с помощью logs-list.php заливал шелл?

Ну если судить по логам то да. Файл исполняемый и если туда поместить этот код и далее вызвать этот файл то появится форма загрузки файла на сервер. В прошлом моем посте скан того, что делает этот код. Через форму льём шелл и уже обратившись к нему получаем менеджер файлов, срисовываем данные для входа в БД, сливаем данные, оставляем с сотню дверей или удаляем вообще сайт. Что конкретно он и сделал после записи в файл кода.

1. timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:52 +0300] "POST /qa/logs-list.php HTTP/1.1" 200 511 "https://timegarant.ru/qa/logs-list.php" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
2. timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:59 +0300] "GET /qa/WSO.php HTTP/1.1" 200 24137 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"

1. После удачной записи в файл обратился к нему и залил шелл (кстати это конкретно видно, ибо обратите внимание запрос уже не GET, а POST)
2. Обратился к шеллу и получил доступ.
Как то так. Чет я не нашел в Question2Answer файла logs-list.php. Я понял, что там за логи отвечает плагин Event Logger, лог либо в БД, либо в файл. Но для хранения в файл выбирается директория с записью и там логи в текстовом формате хранятся. У вас же файл logs-list.php. От куда он!? В стандартной сборке его нет.