MadDavil 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 (изменено) Доброго времени суток! Вот сайт http://otpada.net В самом начале кода перед <html> вставлен iframe с orentraff какого-то.... Вчера этот фрейм появлялся постоянно... я удаляю а он снова в то же самое место.. Тогда я нашел куда он добавляеться - в рекламные материалы, видимо сразу в базу прописали код... А вот сегодня - это вообще загадка!! Оновил все файлы движка, установил самую новую версию, поменял пароли, снёс винду, не сохраняю пароли при входе на фтп и т.д. Появился, как я уже говорил, этот ифрейм в самом начале страницы... Проверил поиском базу данных, файлы, движка - нигде нету этого кода... Собственно этот код есть даже в админ части. Где он спрятался? И как сделать чтобы он не появлялся снова, так как, даже если я его найду и удалю, я уверен что он появиться снова Как они это делают, ведь пароли только вот поменял и нигде не храню их? ((( Очень надеюсь на совет! _________________________ Дополню... Только что нашел этот фрейм в data/config.php очистил.. сразу же проверил антивирусником, смотрю, два шелла в файлах сайта... Интересно, что все шеллы были залиты в не движковый папки, а папки которые я создавал для личных целей... Права я на них выставлял 755... Это совпадение, или они не могут залить шелл в папки движка, а только в папки который я создавал? Еще вопросик: Есть IP этого гада, кажеться он статический.... Можно ли как-то забанить этот IP на сервере, чтобы он даже не смог залить шелл? И интересно все-таки, как они умудрились запихнуть код в config.php? _____________________________ Еще кое-что выяснилось.... Заливали Шелл не посредствомм FTP, а через сайт... Каки образом? Из доп. модулей стоят: Lastcomments, Репутация, repa... Возможность заливки файлов на сервер была включена, только что выключил.. Что посоветуете? Щас вместо того чтобы спать, по горячим следам отбиваю взлом Поскорее бы все было нормально Изменено 7 июня 2008 пользователем MadDavil Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 Заливали Шелл не посредствомм FTP, а через сайт... А с чего вы взяли что через сайт? И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. Обращайтесь к сапорту хостинга. Не ставьте вообще никаких модулей. Цитата Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 по этой ссылке на ходил? http://forum.dle-news.ru/index.php?showtop...mp;#entry184022 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера. 2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов. 3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов. 4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер 5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP. 6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы. 7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга Цитата Ссылка на сообщение Поделиться на других сайтах
MadDavil 0 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 (изменено) Автор 1. Полность перезалить файлы дистрибутива, причем взять чистый архив с сайта dle-news.ru а не свою резервную копию с локльного компьютера. 2. Запустить антивирус в админпанели DLE и удалить все файлы которые он скажет, в том числе и от сторонних модов. 3. Смена всех паролей включая на хостинг, БД, FTP, админпанель скрипта у всех администраторов. 4. Поставить все заплатки на Windows, проверить антивирусом локальный компьютер 5. Не хранить пароли на FTP в FTP менеджерах типа TotalCommander, пароли нужно вводить вручну при заходе на FTP. 6. Всегда помнить что порно реклама и непроверенная реклама плюс устаревшая версия Windows и браузера, повышенный источник заразы. 7. Все это поможет только при отсутствии сторонних скриптов на сервере, если есть сторонние скрипты, то нужно смотреть их, возможно они источник проблем И не обязательно что взломали ваши пароли и т.п, это может просто напросто взломали на серваке какой то сайт и уже через него добрались к вам. тоже возможно, поэтому увеомление о появлении iframe обязательно отправить в службу поддержки хостинга Спасибо большое за советы! Вобщем почти все пункты я выполнил.. просто не уверен насчет 100% защиты антивирусников и фаерволов... Шеллы нашел благодаря антивируснику.. Ну а рекламу у меня берут проверенные люди уже очень давно... Не знаю, остановил Ftp сервер, чтобы вообще никто не смог зайти, если не сломают то проблема тут. Насчет хостера.. Просто у меня выделенный сервак, а как бы, это мой собственный компьютер, где я устанавливаю что хочу, обновляю, ставлю какую хочу ОС и т.п. - типа мои проблемы.. Ps: Плохо что на сервере только 4 я с чем-то версия PHP ? Сайтов на сервере много так сказать.... Говорили мне что нужна правильная настройка, чтобы не ломали с другого аккаунта... Правда ли это, платить деньги ему? Изменено 7 июня 2008 пользователем MadDavil Цитата Ссылка на сообщение Поделиться на других сайтах
domeni 2 Опубликовано: 7 июня 2008 Рассказать Опубликовано: 7 июня 2008 (изменено) такая же проблема Изменено 7 июня 2008 пользователем domeni Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.