Перейти к публикации

Рекомендованные сообщения

Добрый день коллеги.

Есть вопрос, но не могу понять кто виноват или пятница или всё таки массовый взлом.

Появился юзвер wildlogin, с правами администратора. Погуглил в инете, оказывается такие существуют не на одном портале ДЛЕ.

Подскажите, как быть? Или лечиться самому или всё таки обновить двиг на актуальный?

сайт pskovgrad.ru

cb446e947635t.jpg

cb446e947635.jpg

Уверьте меня, что всё будет хорошо. :)

Ссылка на сообщение
Поделиться на других сайтах

FreeRider

Версия DataLife Engine: 7.5

Тип лицензии скрипта: Лицензия активирована

DonCarleone

Не пишите ерунду. mid-team здесь не причём. У меня лицензия.

Обратил внимание, что такой юзверь создан на нескольких парталах в инете, причём дата от 22-24 сентября 2010. Это меня настораживает.

Может патч это этого взлома есть? Не обновляя сам двиг.

Ссылка на сообщение
Поделиться на других сайтах

Может патч это этого взлома есть? Не обновляя сам двиг.

http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите...

Ссылка на сообщение
Поделиться на других сайтах

Может патч это этого взлома есть? Не обновляя сам двиг.

http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите...

Очень сомневаюсь что Celsoft будет делать такое :)

Подумал на мид тим потому, что по запросу гугл: wildlogin первый сайт

<meta name="generator" content="DataLife Engine Sborka by Serfer (http://www.mid-team.ws)" />

Скорее всего ставили какие то дополнительные модули.

Ссылка на сообщение
Поделиться на других сайтах

DonCarleone

скрипт чистый. За всё время ни одного дополнительного модуля.

Угу, действительно. Надо срочно все баги накатить, те все обновления.

Ссылка на сообщение
Поделиться на других сайтах

До вчерашнего дня стояла у меня лицензионная версия 8.5. Все никак руки не доходили обновится до актуальной версии, так как при обновлении придется перелопатить несколько сторонних модулей и хаков, а также самодельный темплейт. Я как и вы, обнаружил 23 сентября на своем сайте этого так сказать "админа" - wildlogin. Помимо с ним появились еще 3 "журналюги". Убил всех и начал проверять вывод. Нашел сразу после login секции скрытый div-кой вывод рекламы. Начал искать дальше, обнаружил, что изменения затронули login.tpl к которой был прикручен через require_once файл "uploads/files/1280227416_files.php". Этот файл был зашифрован (часть кода "...gzuncompress(base64_decode..." ). Более тщательный анализ с использованием антивируса DLE позволил найти еще несколько подозрительных директорий и файлов.

директория:

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c

и файлы в ней:

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/index.php

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed.links.db

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed_db.php

Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу.

Не могу понять, каким образом так смогли залить файл. Возможно из за того, что был разрешен загрузка файлов разного типа. Теперь обновился до 9,0 версии, временно запретил загрузку файлов кроме изображений, удалил всех непрошеных гостей, сменил пароли админов и журналистов, а также пароль на БД. Буду следить, не появится ли заново этот любитель халявы и копаться в скриптах дальше.

А к саппорту вопрос, как они теоретически могли взломать сайт? Где грабли? Угон паролей даже теоретически исключен.

PS: По подсказке Дона Карлеоне прогуглил десятки сайтов и во всех нашел один общий модуль - Module_Online_v5.0_by_FreSh

У меня также установлена лицензионная версия этого модуля. Есть подозрение, что скрипт могли взломать через этот модуль, поскольку он очень глубоко внедряется в DLE, на уровне АPI и БД. К сожалению сейчас нет времени перелопатить скрипт и связаться с разработчиком, позже попробую. Прошу вас отпишитесь, у кого такая же проблема, и по возможности копайте в направлении указанного модуля. Возможно автору пора его доработать. )))

Изменено пользователем MasterEd
Ссылка на сообщение
Поделиться на других сайтах

Угон паролей даже теоретически исключен.

Этого исключать никогда нельзя

Module_Online_v5.0_by_FreSh

вполне возможна и в нём проблемма, celsoft уже однажды про tagscloud писал: http://forum.dle-news.ru/index.php?showtopic=49799&st=0&p=237139&#entry237139, так что не исключено, что и тут есть дыра...

Ссылка на сообщение
Поделиться на других сайтах

Этого исключать никогда нельзя

Я не стал уточнять детали, поэтому это прозвучало слишком смело. ))) На сайте к админке прикручен собственный модуль, который ведет логи всех админ логинов, с фиксацией имени пользователя, времени захода, пребывания на сайте, IP адреса и пр. Соответственно, если бы этот умник использовал пароли админов, редакторов или журналистов, я бы об этом знал. Поэтому я сказал, что вариант угона паролей исключен.

А насчет дыры в tagscloud не знал, спасибо что предупредили. Уберу его от греха подальше. )))

Изменено пользователем MasterEd
Ссылка на сообщение
Поделиться на других сайтах

Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу.

они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базы

Ссылка на сообщение
Поделиться на других сайтах
они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базы
Когда был взломан мой сайт по вине хостинга, то Линкфид, и Сейп предоставили мне емейлы, webmoney кошельки и ip-адреса злоумышленника. Но этих пользователей они не наказали, а просто перекинули мой сайт с их аккаунта на мой. :rolleyes:
Ссылка на сообщение
Поделиться на других сайтах

WWW.ZEOS.IN,

повезло, у меня была другая практика)

все время прикрывались политикой конфиденциальности

Ссылка на сообщение
Поделиться на других сайтах

Разные партнёрки по-разному себя ведут, когда обнаружился баг в версии 8.2 и была взломана куча сайтов, тогда почти все партнёрки предоставляли все данные о взломщиках, блокировали их у себя и тд.

Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответы.

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

Ссылка на сообщение
Поделиться на других сайтах

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

от администрации дле? да причин может быть сколько угодно и подавляющее большинство из них никак не связаны ни с дле, ни с каким либо другим скриптом.

Ссылка на сообщение
Поделиться на других сайтах

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

На какую тему пару слов? Если я правильно понял у вас стояла старая версия скрипта, и не были установлены вышедшие патчи безопасности для скрипта http://dle-news.ru/bags/ Может это быть причиной? Конечно может, иначе бы они не выходили. Об этом вам уже писали, поэтому я не видел смысла дублировать это повторно.

Ссылка на сообщение
Поделиться на других сайтах

Тоже появился такой администратор wildlogin,

Думаю из за модуля Avards, почистил, сменил пароль на базе данных,администраторский пароль сменил на 15 знаков. wildlogin забанил, оставил посмотрю что дальше будет.

Нашел в uploads/upload/, а там файл Thumbs, тип файла Data Base File, похоже что именно из за него так легко внедрялся wildlogin.

ещё пару табличек в MySQL DLE_avards, DLE_avards_list

Изменено пользователем Леопард
Ссылка на сообщение
Поделиться на других сайтах

у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать?

Ссылка на сообщение
Поделиться на других сайтах

у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать?

Имя хоста для 212.112.227.180 : - mch3.stein-it.net (левый IP думаю)

Поищи public_html/uploads/thumbs/thumbs

И удалить.

Смени пароль на БД /engine/data/dbconfig.php, потом на самой БД, где расположен сайт. Главное поищи в сторонних модулях левый код.

Изменено пользователем Леопард
Ссылка на сообщение
Поделиться на других сайтах

та же фигня. появился данный администратор.

дле 8.3

стоит только smscoin

последний патч (http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html)

установлен еще не был

уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча или что то другое (smscoin) ??

Ссылка на сообщение
Поделиться на других сайтах

уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча

вполне возможно.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...