MadDavil 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 Доброго времени суток! Вот сайт http://otpada.net В самом начале кода перед <html> вставлен iframe с orentraff какого-то.... Вчера этот фрейм появлялся постоянно... я удаляю а он снова в то же самое место.. Тогда я нашел куда он добавляеться - в рекламные материалы, видимо сразу в базу прописали код... А вот сегодня - это вообще загадка!! Оновил все файлы движка, установил самую новую версию, поменял пароли, снёс винду, не сохраняю пароли при входе на фтп и т.д. Появился, как я уже говорил, этот ифрейм в самом начале страницы... Проверил поиском базу данных, файлы, движка - нигде нету этого кода... Собственно этот код есть даже в админ части. Где он спрятался? И как сделать чтобы он не появлялся снова, так как, даже если я его найду и удалю, я уверен что он появиться снова Как они это делают, ведь пароли только вот поменял и нигде не храню их? ((( Очень надеюсь на совет! _________________________ Дополню... Только что нашел этот фрейм в data/config.php очистил.. сразу же проверил антивирусником, смотрю, два шелла в файлах сайта... Интересно, что все шеллы были залиты в не движковый папки, а папки которые я создавал для личных целей... Права я на них выставлял 755... Это совпадение, или они не могут залить шелл в папки движка, а только в папки который я создавал? Еще вопросик: Есть IP этого гада, кажеться он статический.... Можно ли как-то забанить этот IP на сервере, чтобы он даже не смог залить шелл? И интересно все-таки, как они умудрились запихнуть код в config.php? _____________________________ Еще кое-что выяснилось.... Заливали Шелл не посредствомм FTP, а через сайт... Каки образом? Из доп. модулей стоят: Lastcomments, Репутация, repa... Возможность заливки файлов на сервер была включена, только что выключил.. Что посоветуете? Щас вместо того чтобы спать, по горячим следам отбиваю взлом Поскорее бы все было нормально Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 Заливали Шелл не посредствомм FTP, а через сайт... А с чего вы взяли что через сайт? И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. Обращайтесь к сапорту хостинга. Не ставьте вообще никаких модулей. Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 по этой ссылке на ходил? http://forum.dle-news.ru/index.php?showtop...mp;#entry184022 Ссылка на сообщение Поделиться на других сайтах
celsoft 6216 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера. 2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов. 3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов. 4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер 5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP. 6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы. 7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга Ссылка на сообщение Поделиться на других сайтах
MadDavil 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 Автор 1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера. 2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов. 3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов. 4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер 5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP. 6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы. 7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга Спасибо большое за советы! Вобщем почти все пункты я выполнил.. просто не уверен насчет 100% защиты антивирусников и фаерволов... Шеллы нашел благодаря антивируснику.. Ну а рекламу у меня берут проверенные люди уже очень давно... Не знаю, остановил Ftp сервер, чтобы вообще никто не смог зайти, если не сломают то проблема тут. Насчет хостера.. Просто у меня выделенный сервак, а как бы, это мой собственный компьютер, где я устанавливаю что хочу, обновляю, ставлю какую хочу ОС и т.п. - типа мои проблемы.. Ps: Плохо что на сервере только 4 я с чем-то версия PHP ? Сайтов на сервере много так сказать.... Говорили мне что нужна правильная настройка, чтобы не ломали с другого аккаунта... Правда ли это, платить деньги ему? Ссылка на сообщение Поделиться на других сайтах
domeni 2 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 такая же проблема Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.