wildlogin кто это?

[pskovgrad 1]

Добрый день коллеги.

Есть вопрос, но не могу понять кто виноват или пятница или всё таки массовый взлом.

Появился юзвер wildlogin, с правами администратора. Погуглил в инете, оказывается такие существуют не на одном портале ДЛЕ.

Подскажите, как быть? Или лечиться самому или всё таки обновить двиг на актуальный?

сайт pskovgrad.ru

Уверьте меня, что всё будет хорошо.

[FreeRider 8]

а что у вас за версия ДЛЕ?

[DonCarleone 0]

Это новая фиша от mid-team

Купи лицензию и не будет подобных вещей.

[pskovgrad 1]

FreeRider

Версия DataLife Engine: 7.5

Тип лицензии скрипта: Лицензия активирована

DonCarleone

Не пишите ерунду. mid-team здесь не причём. У меня лицензия.

Обратил внимание, что такой юзверь создан на нескольких парталах в инете, причём дата от 22-24 сентября 2010. Это меня настораживает.

Может патч это этого взлома есть? Не обновляя сам двиг.

[FreeRider 8]

Может патч это этого взлома есть? Не обновляя сам двиг.

http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите...

[DonCarleone 0]

Может патч это этого взлома есть? Не обновляя сам двиг.

http://dle-news.ru/bags/ тут все патчи, смотрите, все ли установлены, только проверяйте версии. А так лучше техподдержку ждите...

Очень сомневаюсь что Celsoft будет делать такое

Подумал на мид тим потому, что по запросу гугл: wildlogin первый сайт

<meta name="generator" content="DataLife Engine Sborka by Serfer (http://www.mid-team.ws)" />

Скорее всего ставили какие то дополнительные модули.

[pskovgrad 1]

DonCarleone

скрипт чистый. За всё время ни одного дополнительного модуля.

Угу, действительно. Надо срочно все баги накатить, те все обновления.

[MasterEd 1]

До вчерашнего дня стояла у меня лицензионная версия 8.5. Все никак руки не доходили обновится до актуальной версии, так как при обновлении придется перелопатить несколько сторонних модулей и хаков, а также самодельный темплейт. Я как и вы, обнаружил 23 сентября на своем сайте этого так сказать "админа" - wildlogin. Помимо с ним появились еще 3 "журналюги". Убил всех и начал проверять вывод. Нашел сразу после login секции скрытый div-кой вывод рекламы. Начал искать дальше, обнаружил, что изменения затронули login.tpl к которой был прикручен через require_once файл "uploads/files/1280227416_files.php". Этот файл был зашифрован (часть кода "...gzuncompress(base64_decode..." ). Более тщательный анализ с использованием антивируса DLE позволил найти еще несколько подозрительных директорий и файлов.

директория:

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c

и файлы в ней:

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/index.php

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed.links.db

uploads/thumbs/4821f4e778239be1783941d15e35d3aa1fef464c/linkfeed_db.php

Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу.

Не могу понять, каким образом так смогли залить файл. Возможно из за того, что был разрешен загрузка файлов разного типа. Теперь обновился до 9,0 версии, временно запретил загрузку файлов кроме изображений, удалил всех непрошеных гостей, сменил пароли админов и журналистов, а также пароль на БД. Буду следить, не появится ли заново этот любитель халявы и копаться в скриптах дальше.

А к саппорту вопрос, как они теоретически могли взломать сайт? Где грабли? Угон паролей даже теоретически исключен.

PS: По подсказке Дона Карлеоне прогуглил десятки сайтов и во всех нашел один общий модуль - Module_Online_v5.0_by_FreSh

У меня также установлена лицензионная версия этого модуля. Есть подозрение, что скрипт могли взломать через этот модуль, поскольку он очень глубоко внедряется в DLE, на уровне АPI и БД. К сожалению сейчас нет времени перелопатить скрипт и связаться с разработчиком, позже попробую. Прошу вас отпишитесь, у кого такая же проблема, и по возможности копайте в направлении указанного модуля. Возможно автору пора его доработать. )))

[FreeRider 8]

Угон паролей даже теоретически исключен.

Этого исключать никогда нельзя

Module_Online_v5.0_by_FreSh

вполне возможна и в нём проблемма, celsoft уже однажды про tagscloud писал: http://forum.dle-news.ru/index.php?showtopic=49799&st=0&p=237139&#entry237139, так что не исключено, что и тут есть дыра...

[MasterEd 1]

Этого исключать никогда нельзя

Я не стал уточнять детали, поэтому это прозвучало слишком смело. ))) На сайте к админке прикручен собственный модуль, который ведет логи всех админ логинов, с фиксацией имени пользователя, времени захода, пребывания на сайте, IP адреса и пр. Соответственно, если бы этот умник использовал пароли админов, редакторов или журналистов, я бы об этом знал. Поэтому я сказал, что вариант угона паролей исключен.

А насчет дыры в tagscloud не знал, спасибо что предупредили. Уберу его от греха подальше. )))

[prikindel 255]

Думаю по ID линкфида можно вычислить наглеца, или по крайне мере написать коллективную абузу.

они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базы

[WWW.ZEOS.IN 1161]

они тебе никаких данных не предоставят и содействие не окажут. единственное, что сделают - удалят сайт из своей базы

Когда был взломан мой сайт по вине хостинга, то Линкфид, и Сейп предоставили мне емейлы, webmoney кошельки и ip-адреса злоумышленника. Но этих пользователей они не наказали, а просто перекинули мой сайт с их аккаунта на мой.

[prikindel 255]

WWW.ZEOS.IN,

повезло, у меня была другая практика)

все время прикрывались политикой конфиденциальности

[FreeRider 8]

Разные партнёрки по-разному себя ведут, когда обнаружился баг в версии 8.2 и была взломана куча сайтов, тогда почти все партнёрки предоставляли все данные о взломщиках, блокировали их у себя и тд.

[prikindel 255]

FreeRider,

ну, значит только mainlink мудаки

[pskovgrad 1]

Спасибо за ответы.

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

[prikindel 255]

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

от администрации дле? да причин может быть сколько угодно и подавляющее большинство из них никак не связаны ни с дле, ни с каким либо другим скриптом.

[celsoft 6257]

Конечно, хотелось бы пару слов и от администрации. Будем ждать.

На какую тему пару слов? Если я правильно понял у вас стояла старая версия скрипта, и не были установлены вышедшие патчи безопасности для скрипта http://dle-news.ru/bags/ Может это быть причиной? Конечно может, иначе бы они не выходили. Об этом вам уже писали, поэтому я не видел смысла дублировать это повторно.

[pskovgrad 1]

celsoft

Ok. Спасибо за ответ.

[Леопард 2]

Тоже появился такой администратор wildlogin,

Думаю из за модуля Avards, почистил, сменил пароль на базе данных,администраторский пароль сменил на 15 знаков. wildlogin забанил, оставил посмотрю что дальше будет.

Нашел в uploads/upload/, а там файл Thumbs, тип файла Data Base File, похоже что именно из за него так легко внедрялся wildlogin.

ещё пару табличек в MySQL DLE_avards, DLE_avards_list

[freee 0]

у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать?

[Леопард 2]

у меня тоже появился этот пользователь! я его удалил, а айпи забанил. но сейчас сайт выдает ошибку Mysql - что посоветуете делать?

Имя хоста для 212.112.227.180 : - mch3.stein-it.net (левый IP думаю)

Поищи public_html/uploads/thumbs/thumbs

И удалить.

Смени пароль на БД /engine/data/dbconfig.php, потом на самой БД, где расположен сайт. Главное поищи в сторонних модулях левый код.

[OffSpEEd 0]

та же фигня. появился данный администратор.

дле 8.3

стоит только smscoin

последний патч (http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html)

установлен еще не был

уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча или что то другое (smscoin) ??

[celsoft 6257]

уважаемый Келсофт, этот юзер wildlogin появляется из-за неустановленного последнего патча

вполне возможно.