Mek 99 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 (изменено) Только что зашёл в админку своего сайта и увидел там нового админа: isupport isupport@dlenews.ru Дата регистрации: 1 января 1970 03:00 Версия движка 8.2, пропатчен от последней всем известной дырки. Эта тема уже закрыта, по этому создал новую. Новые пользователи регятся в группе "Посетители", в админку есть доступ только у меня. Проверил все настройки админки- ничего подозрительного не нашёл. Как такое могло произойти? Может имеет место ещё одна дырка в скрипте? Сайт www.savok.name Изменено 1 декабря 2009 пользователем Mek Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 045 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Регистрация прошла не через скрипт, смотрите на дату регистрации, это было напрямую вставлено в БД, либо через другие скрипты или сторонние модули Цитата Ссылка на сообщение Поделиться на других сайтах
Dj Dance 185 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Mek, я думаю залезли через DLE Forum!!! В версии 2.4 есть баг фикс Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 (изменено) Автор Регистрация прошла не через скрипт, смотрите на дату регистрации, это было напрямую вставлено в БД, либо через другие скрипты или сторонние модули Из модулей стоит: форум, вывод случайных картинок и геолокатор. Все модули стоят с момента открытия сайта. Когда была обнаружена дырка со сбросом админского пароля, мой пароль сменили. Мог ли тогда злоумышленник добавить свой код и теперь с помощью него создать нового админа? Если такая возможность не исключена, то где нужно искать вредоносный код ? я думаю залезли через DLE Forum!!! В версии 2.4 есть баг фикс Можно по подробнее ! Если речь идёт об ЭТОМ, то я практически сразу её залатал )) Изменено 1 декабря 2009 пользователем Mek Цитата Ссылка на сообщение Поделиться на других сайтах
Dj Dance 185 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Mek, Ознакомьтесь: перейти Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 045 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Мог ли тогда злоумышленник добавить свой код и теперь с помощью него создать нового админа? нет, DLE не редактор и файлы скрипта редактировать не умеетУ вас в данном случае один выход, полностью перезаливать файлы скрипта на оригинальные из дистрибутива, после этого делать проверку антивирусом в админпанели, и удалять все файлы на которые он укажет, т.е. удалять все сторонние модификации. Из модулей стоит: форум, вывод случайных картинок и геолокатор. Все модули стоят с момента открытия сайта. Ну и что, это не показатель безопасности. Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Автор celsoft, какие могут быть ещё варианты ? Сейчас проверил панель управления на хостинге, последним был там был я 11 дней назад и со своего IP. Вчера заметил вот что, возможно это не относится к делу, но всё же .... Со вчерашнего дня поля ответа на форуме стало выглядеть вот так: Внешне изменилась панель с ВВ кодами, в частности смайлик стал другим, пропала нижняя строка ВВ кодов. Так же, в левом нижнем углу появилась надпись "Путь" , а в правом- стрелочка для расширения окна. Никаких изменений на форуме не делал. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 045 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Mek, вообще то это не панель ББ кодов, а WYSIWYG редактор и он всегда был таким.celsoft, какие могут быть ещё варианты ? кроме того что я указал, других безопасных вариантов нет. Также смените все пароли в том числе и на БД, возможно известен ваш пароль к БД и это было добавлено напрямую в БД. Но менять файлы на оригинальные обяазательно, в противном случае смена паролей теряет свой смысл Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Автор вообще то это не панель ББ кодов, а WYSIWYG редактор и он всегда был таким. До этого окошко ответа выглядело вот так: Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 045 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Mek, Вообще то это в настройках скрипта включается, какой редактор использовать для комментариев, на одном скриншоте у вас BB редактор, на другом WYSIWYG редактор Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 1 декабря 2009 Рассказать Опубликовано: 1 декабря 2009 Автор Mek, Вообще то это в настройках скрипта включается, какой редактор использовать для комментариев, на одном скриншоте у вас BB редактор, на другом WYSIWYG редактор Спасибо Сам затупил ))) Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 4 декабря 2009 Рассказать Опубликовано: 4 декабря 2009 Автор В продолжении темы...Сегодня бекапил сайт, каспер ругнулся на один файлик, сначала не придал этому значения, но потом открыл и ужаснулся ))) Файл лежал тут /uploads/files/5718_image.php Вот скрин: Что это за хрень и что с её помощью могли сделать? P.S. В настройках скрипта в пункте "Расширение файлов, допустимых к загрузке" стояло .exe и .php Из за этого злоумышленник смог загрузить свой файл на сайт? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 045 Опубликовано: 5 декабря 2009 Рассказать Опубликовано: 5 декабря 2009 Mek, вот она и причина вашей проблемы, вам залили шелл, с помощью него можно сделать все что угодно, получить пароли напрямую к БД, и много много чего. Кстати причиной появилась ваша собственная невнимательность, в папке /uploads/files/ в дистрибутиве лежит файл .htaccess, который запрещает обращения к файлам в этой папке напрямую из браузера. Почему у вас не оказалось этого файла в этой папке? Потому что если бы он был, вы бы несмогли его запустить в браузере. И нового админа вам добавили именно из этого шела, получив данные соединения в БД Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 5 декабря 2009 Рассказать Опубликовано: 5 декабря 2009 Mek, этот файл мог бы увидеть и Антивирус в админке DLE Запускайте его иногда Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.