pskovgrad 1 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Добрый день коллеги. Есть вопрос, но не могу понять кто виноват или пятница или всё таки массовый взлом. Появился юзвер wildlogin, с правами администратора. Погуглил в инете, оказывается такие существуют не на одном портале ДЛЕ. Подскажите, как быть? Или лечиться самому или всё таки обновить двиг на актуальный? сайт pskovgrad.ru Уверьте меня, что всё будет хорошо. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 а что у вас за версия ДЛЕ? Цитата Ссылка на сообщение Поделиться на других сайтах
DonCarleone 0 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Это новая фиша от mid-team Купи лицензию и не будет подобных вещей. Цитата Ссылка на сообщение Поделиться на других сайтах
pskovgrad 1 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Автор FreeRider Версия DataLife Engine: 7.5 Тип лицензии скрипта: Лицензия активирована DonCarleone Не пишите ерунду. mid-team здесь не причём. У меня лицензия. Обратил внимание, что такой юзверь создан на нескольких парталах в инете, причём дата от 22-24 сентября 2010. Это меня настораживает. Может патч это этого взлома есть? Не обновляя сам двиг. Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Может патч это этого взлома есть? Не обновляя сам двиг. http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите... Цитата Ссылка на сообщение Поделиться на других сайтах
DonCarleone 0 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Может патч это этого взлома есть? Не обновляя сам двиг. http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите... Очень сомневаюсь что Celsoft будет делать такое Подумал на мид тим потому, что по запросу гугл: wildlogin первый сайт <meta name="generator" content="DataLife Engine Sborka by Serfer (http://www.mid-team.ws)" /> Скорее всего ставили какие то дополнительные модули. Цитата Ссылка на сообщение Поделиться на других сайтах
pskovgrad 1 Опубликовано: 24 сентября 2010 Рассказать Опубликовано: 24 сентября 2010 Автор DonCarleone скрипт чистый. За всё время ни одного дополнительного модуля. Угу, действительно. Надо срочно все баги накатить, те все обновления. Цитата Ссылка на сообщение Поделиться на других сайтах
MasterEd 1 Опубликовано: 25 сентября 2010 Рассказать Опубликовано: 25 сентября 2010 (изменено) До вчерашнего дня стояла у меня лицензионная версия 8.5. Все никак руки не доходили обновится до актуальной версии, так как при обновлении придется перелопатить несколько сторонних модулей и хаков, а также самодельный темплейт. Я как и вы, обнаружил 23 сентября на своем сайте этого так сказать "админа" - wildlogin. Помимо с ним появились еще 3 "журналюги". Убил всех и начал проверять вывод. Нашел сразу после login секции скрытый div-кой вывод рекламы. Начал искать дальше, обнаружил, что изменения затронули login.tpl к которой был прикручен через require_once файл "uploads/files/1280227416_files.php". Этот файл был зашифрован (часть кода "...gzuncompress(base64_decode..." ). Более тщательный анализ с использованием антивируса DLE позволил найти еще несколько подозрительных директорий и файлов. директория: uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c и файлы в ней: uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/index.php uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed.links.db uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed_db.php Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу. Не могу понять, каким образом так смогли залить файл. Возможно из за того, что был разрешен загрузка файлов разного типа. Теперь обновился до 9,0 версии, временно запретил загрузку файлов кроме изображений, удалил всех непрошеных гостей, сменил пароли админов и журналистов, а также пароль на БД. Буду следить, не появится ли заново этот любитель халявы и копаться в скриптах дальше. А к саппорту вопрос, как они теоретически могли взломать сайт? Где грабли? Угон паролей даже теоретически исключен. PS: По подсказке Дона Карлеоне прогуглил десятки сайтов и во всех нашел один общий модуль - Module_Online_v5.0_by_FreSh У меня также установлена лицензионная версия этого модуля. Есть подозрение, что скрипт могли взломать через этот модуль, поскольку он очень глубоко внедряется в DLE, на уровне АPI и БД. К сожалению сейчас нет времени перелопатить скрипт и связаться с разработчиком, позже попробую. Прошу вас отпишитесь, у кого такая же проблема, и по возможности копайте в направлении указанного модуля. Возможно автору пора его доработать. ))) Изменено 25 сентября 2010 пользователем MasterEd Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 25 сентября 2010 Рассказать Опубликовано: 25 сентября 2010 Угон паролей даже теоретически исключен. Этого исключать никогда нельзя Module_Online_v5.0_by_FreSh вполне возможна и в нём проблемма, celsoft уже однажды про tagscloud писал: http://forum.dle-news.ru/index.php?showtopic=49799&st=0&p=237139&#entry237139, так что не исключено, что и тут есть дыра... Цитата Ссылка на сообщение Поделиться на других сайтах
MasterEd 1 Опубликовано: 25 сентября 2010 Рассказать Опубликовано: 25 сентября 2010 (изменено) Этого исключать никогда нельзя Я не стал уточнять детали, поэтому это прозвучало слишком смело. ))) На сайте к админке прикручен собственный модуль, который ведет логи всех админ логинов, с фиксацией имени пользователя, времени захода, пребывания на сайте, IP адреса и пр. Соответственно, если бы этот умник использовал пароли админов, редакторов или журналистов, я бы об этом знал. Поэтому я сказал, что вариант угона паролей исключен. А насчет дыры в tagscloud не знал, спасибо что предупредили. Уберу его от греха подальше. ))) Изменено 25 сентября 2010 пользователем MasterEd Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 25 сентября 2010 Рассказать Опубликовано: 25 сентября 2010 Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу. они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базы Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 25 сентября 2010 Рассказать Опубликовано: 25 сентября 2010 они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базыКогда был взломан мой сайт по вине хостинга, то Линкфид, и Сейп предоставили мне емейлы, webmoney кошельки и ip-адреса злоумышленника. Но этих пользователей они не наказали, а просто перекинули мой сайт с их аккаунта на мой. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 WWW.ZEOS.IN, повезло, у меня была другая практика)все время прикрывались политикой конфиденциальности Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 Разные партнёрки по-разному себя ведут, когда обнаружился баг в версии 8.2 и была взломана куча сайтов, тогда почти все партнёрки предоставляли все данные о взломщиках, блокировали их у себя и тд. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 FreeRider, ну, значит только mainlink мудаки Цитата Ссылка на сообщение Поделиться на других сайтах
pskovgrad 1 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 Автор Спасибо за ответы. Конечно, хотелось бы пару слов и от администрации. Будем ждать. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 Конечно, хотелось бы пару слов и от администрации. Будем ждать. от администрации дле? да причин может быть сколько угодно и подавляющее большинство из них никак не связаны ни с дле, ни с каким либо другим скриптом. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 Конечно, хотелось бы пару слов и от администрации. Будем ждать. На какую тему пару слов? Если я правильно понял у вас стояла старая версия скрипта, и не были установлены вышедшие патчи безопасности для скрипта http://dle-news.ru/bags/ Может это быть причиной? Конечно может, иначе бы они не выходили. Об этом вам уже писали, поэтому я не видел смысла дублировать это повторно. Цитата Ссылка на сообщение Поделиться на других сайтах
pskovgrad 1 Опубликовано: 26 сентября 2010 Рассказать Опубликовано: 26 сентября 2010 Автор celsoft Ok. Спасибо за ответ. Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 2 октября 2010 Рассказать Опубликовано: 2 октября 2010 (изменено) Тоже появился такой администратор wildlogin, Думаю из за модуля Avards, почистил, сменил пароль на базе данных,администраторский пароль сменил на 15 знаков. wildlogin забанил, оставил посмотрю что дальше будет. Нашел в uploads/upload/, а там файл Thumbs, тип файла Data Base File, похоже что именно из за него так легко внедрялся wildlogin. ещё пару табличек в MySQL DLE_avards, DLE_avards_list Изменено 2 октября 2010 пользователем Леопард Цитата Ссылка на сообщение Поделиться на других сайтах
freee 0 Опубликовано: 2 октября 2010 Рассказать Опубликовано: 2 октября 2010 у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать? Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 2 октября 2010 Рассказать Опубликовано: 2 октября 2010 (изменено) у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать? Имя хоста для 212.112.227.180 : - mch3.stein-it.net (левый IP думаю) Поищи public_html/uploads/thumbs/thumbs И удалить. Смени пароль на БД /engine/data/dbconfig.php, потом на самой БД, где расположен сайт. Главное поищи в сторонних модулях левый код. Изменено 2 октября 2010 пользователем Леопард 1 Цитата Ссылка на сообщение Поделиться на других сайтах
OffSpEEd 0 Опубликовано: 4 октября 2010 Рассказать Опубликовано: 4 октября 2010 та же фигня. появился данный администратор. дле 8.3 стоит только smscoin последний патч (http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html) установлен еще не был уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча или что то другое (smscoin) ?? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 4 октября 2010 Рассказать Опубликовано: 4 октября 2010 уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча вполне возможно. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.