Перейти к публикации

Рекомендованные сообщения

Доброго времени суток!

Вот сайт http://otpada.net

В самом начале кода перед <html> вставлен iframe с orentraff какого-то....

Вчера этот фрейм появлялся постоянно... я удаляю а он снова в то же самое место.. Тогда я нашел куда он добавляеться - в рекламные материалы, видимо сразу в базу прописали код...

А вот сегодня - это вообще загадка!! Оновил все файлы движка, установил самую новую версию, поменял пароли, снёс винду, не сохраняю пароли при входе на фтп и т.д.

Появился, как я уже говорил, этот ифрейм в самом начале страницы... Проверил поиском базу данных, файлы, движка - нигде нету этого кода... Собственно этот код есть даже в админ части.

Где он спрятался? И как сделать чтобы он не появлялся снова, так как, даже если я его найду и удалю, я уверен что он появиться снова :(

Как они это делают, ведь пароли только вот поменял и нигде не храню их? (((

Очень надеюсь на совет!

_________________________

Дополню...

Только что нашел этот фрейм в data/config.php

очистил..

сразу же проверил антивирусником, смотрю, два шелла в файлах сайта...

Интересно, что все шеллы были залиты в не движковый папки, а папки которые я создавал для личных целей...

Права я на них выставлял 755...

Это совпадение, или они не могут залить шелл в папки движка, а только в папки который я создавал?

Еще вопросик: Есть IP этого гада, кажеться он статический....

Можно ли как-то забанить этот IP на сервере, чтобы он даже не смог залить шелл?

И интересно все-таки, как они умудрились запихнуть код в config.php?

_____________________________

Еще кое-что выяснилось....

Заливали Шелл не посредствомм FTP, а через сайт...

Каки образом?

Из доп. модулей стоят: Lastcomments, Репутация, repa...

Возможность заливки файлов на сервер была включена, только что выключил..

Что посоветуете? <_<

Щас вместо того чтобы спать, по горячим следам отбиваю взлом :angry:

Поскорее бы все было нормально :(

Изменено пользователем MadDavil
Ссылка на сообщение
Поделиться на других сайтах

Заливали Шелл не посредствомм FTP, а через сайт...

А с чего вы взяли что через сайт?

И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам.

Обращайтесь к сапорту хостинга. Не ставьте вообще никаких модулей.

Ссылка на сообщение
Поделиться на других сайтах

1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера.

2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов.

3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов.

4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер

5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP.

6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы.

7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем

И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам.

тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга

Ссылка на сообщение
Поделиться на других сайтах

1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера.

2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов.

3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов.

4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер

5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP.

6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы.

7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем

И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам.

тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга

Спасибо большое за советы! Вобщем почти все пункты я выполнил.. просто не уверен насчет 100% защиты антивирусников и фаерволов...

Шеллы нашел благодаря антивируснику.. Ну а рекламу у меня берут проверенные люди уже очень давно...

Не знаю, остановил Ftp сервер, чтобы вообще никто не смог зайти, если не сломают то проблема тут.

Насчет хостера.. Просто у меня выделенный сервак, а как бы, это мой собственный компьютер, где я устанавливаю что хочу, обновляю, ставлю какую хочу ОС и т.п. - типа мои проблемы..

Ps: Плохо что на сервере только 4 я с чем-то версия PHP ?

Сайтов на сервере много так сказать.... Говорили мне что нужна правильная настройка, чтобы не ломали с другого аккаунта... Правда ли это, платить деньги ему?

Изменено пользователем MadDavil
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...