Jetix 0 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 обновитесь до актуальной версии, там есть раздел перестроения новостей, он зачистит зловредный код. А что делать тем, у кого была лицензия на 1 год и обновление до версии 9.2 уже не установить? Есть какие-то варианты излечиться?) Проблема такая же - во всех новостях появились скрипты: <script src="http://zheenix.msk.ru/3ad17698332f903033711f449ebd0e77.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script> Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 Jetix, Проверить fullstory.tpl. Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд. Цитата Ссылка на сообщение Поделиться на других сайтах
Jetix 0 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 (изменено) Jetix, Проверить fullstory.tpl. Проверить БД, по-моему "Поиск и замена" должна помочь если проблема в бд. В шаблонах всё в порядке, в БД действительно во всех новостях присутствуют эти скрипты. Попробовал удалить их в phpMyAdmin - так вместо этого удалились все новости - хорошо бэкап был) как из БД эту заразу убрать можно?) Вот тут ещё проблему обсуждают - http://www.maultalk.com/topic75180s0.html Сложность в том, что у троянских JS-файлов динамические названия! Если через phpMyAdmin заменять, то не получится( Изменено 7 января 2011 пользователем Jetix Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 Jetix, Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте? Цитата Ссылка на сообщение Поделиться на других сайтах
Jetix 0 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 Jetix, Динамические названия путей к js скрипту? Тогда заменил бы <script ... тупо, но это не выход. Вы все патчи ставили которые на оф сайте? Да, в каждой новости названия JS-файлов разное, такого формата http://zheenix.msk.ru/ХХХХХХХХХХХХХХХХХХХХХХХ.js, где вместо ХХХХХХХХХХХХХХХХХХ любая буква/цифра. И да, все патчи с сайта ставились. Сегодня на всякий проверил. Версия DLE 8.3. Цитата Ссылка на сообщение Поделиться на других сайтах
Elegance 0 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 Смотрю тут много сегодня покосило....я вот тоже попал под http://zheenix.msk.r...ХХХХХХХХХХХХ.js Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано. Смотрел логи сервера...из подозрительного и непонятного в ошибках за последние сутки нашел: [07-ñÎ×-2011] PHP Warning: mysqli_fetch_assoc() expects parameter 1 to be mysqli_result, boolean given in /home/public_html/engine/classes/mysqli.class.php on line 101 Может спецам это поможет для определения дырки? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 7 января 2011 Рассказать Опубликовано: 7 января 2011 Это какая-то новая дыра, видимо, т.к. у меня версия 8.5, все залатано. Ничего нового, причина стара как мир, либо нелегальные копии или неустановленные ранее патчи безопасности, или сторонние модули, либо также шеллы не очищенные с первого раза после установки патчей, либо необновленный уязвимый phpMyAdmin на сервере. Цитата Ссылка на сообщение Поделиться на других сайтах
avs555 0 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 С этой хренью zheenix последние два дня массовая беда. и двиг легальный и дырки залатаны и всё равно. Где-то дыра Цитата Ссылка на сообщение Поделиться на других сайтах
SFW 2 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 (изменено) 1.В main.tpl обнаружено <script type="text/javascript" src="{THEME}/lib/gzip/js.php-id=3c3c95f209a65d1207e91f9c654905b0"></script> файл сам тут http://www.ex.ua/view_storage/462164216347 2. В папке шаблонов обнаружен catlist.php с содержимым <?php $sql_result = $db->query("select ct.id, ct.alt_name, ct.name, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND (DATE_FORMAT(date, '%Y%m%d')=CURDATE()) AND approve = '1') as new_, (select count(*) from ". PREFIX ."_post ps where ps.category = ct.id AND approve = '1') as allnews_ from ". PREFIX ."_category ct");while($row = $db->get_row($sql_result)){echo('<li><a href="'.$config['http_home_url'].$row['alt_name'].'/">'.$row['name'].'</a> ('.($row['allnews_']).')</li>');}?> Все обнаружено антивирусом движка, и все удалено, папка шаблонов поставлена как ридонли. Этого достаточно? Изменено 8 января 2011 пользователем SFW Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 SFW, Я бы еще запрет на выполнение php в папки templates и uploads поставил. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 SFW, Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код. Цитата Ссылка на сообщение Поделиться на других сайтах
SFW 2 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 SFW, Вообще то это вас какой то модуль был в шаблонах. Это код вывода списка категорий, для меню, а не зловредный код. Спасибо, абсолютно не силен в php - поэтому доверился сообщению админки - что это подозрительный файл. SFW, Я бы еще запрет на выполнение php в папки templates и uploads поставил. Спасибо , сделал. Цитата Ссылка на сообщение Поделиться на других сайтах
Jetix 0 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 Вот тут подробное решение проблемы очистки базы данных от посторонних JS-скриптов: http://www.maultalk.com/topic75180.html?view=findpost&p=892547 Сам сейчас так сделал - всё ок! Цитата Ссылка на сообщение Поделиться на других сайтах
SFW 2 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 (изменено) Мне не помогло ридонли. Появляются снова и снова скрипты. Что делать? После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать. Изменено 8 января 2011 пользователем SFW Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 8 января 2011 Рассказать Опубликовано: 8 января 2011 Мне не помогло ридонли. Появляются снова и снова скрипты. Что делать? После бага с ретривом пассворда администратора, теперь этот косяк, DLE реально начинает напрягать. В таком случае скрипт вам ничем не поможет, если на файлы не было прав на запись, значит изменения в файлы производились не скриптами а с доступами выше скриптов, например по FTP. И вам уже нужно заниматься безопасностью сервера и своего компьютера. Вы почему то решили что если стоит DLE, то значит проблема именно в DLE, помимо DLE на сервере стоит с десяток программ, безопасностью которых также нужно заниматься. Также изучите темы: http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979 http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe И поймете как воруются доступы с ваших комьютеров, в которых они храняться. Да и кстати какие скрипты у вас появляются и где, например то что вы писали выше http://forum.dle-news.ru/index.php?showtopic=53254&view=findpost&p=262650 не являются никакими шеллами и зловредными скриптами в принципе. Это фреймворк mootols и модуль вывода списка категорий, я вам об этом уже писал Цитата Ссылка на сообщение Поделиться на других сайтах
SFW 2 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Извините , может быть дело действительно не в скрипте. Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Устал просто тратить время на такую чепуху как чистку новостей от скриптов. И нет понятия как это прекратить. Я сейчас не понял у вас где скрипты появляются? Раньше вы писали что в файлах, сейчас что в новостях. Это большая и принципиальная разница. Вы на свой скрипт все патчи установили http://dle-news.ru/bags/ ? Цитата Ссылка на сообщение Поделиться на других сайтах
SFW 2 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 (изменено) Нет последний был не установлен. Сам виноват. Прошу прощения еще раз. Изменено 10 января 2011 пользователем SFW Цитата Ссылка на сообщение Поделиться на других сайтах
NoMaNt 0 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите? Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите? Уже сто раз писали что сломать могут не через DLE, а через серверные программы Цитата Ссылка на сообщение Поделиться на других сайтах
NoMaNt 0 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?!Вы случайно сами ничего не мутите? Уже сто раз писали что сломать могут не через DLE, а через серверные программы Хоть 300000 раз!я второй раз всего на этом форуме! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 10 января 2011 Рассказать Опубликовано: 10 января 2011 Вот мне интересно!Почему сайты на дле ломают (даже если все баги закрыты(которые указаны на офф сайте)),а ваш немогут сломать?! За всю свою практику, и осмотр огромного количества сайтов, еще не видел ниодного сайта на лицензионном скрипте, который бы взломали, и на котором стояли патчи, но при этом он не был бы завален еще кучей скриптов, хаков и модулей, сомнительного содержания и авторства.Вы случайно сами ничего не мутите? Конечно мучу, не ставлю всякое барахло на сайт подряд, и слежу за исправлениями другого серверного ПО. Цитата Ссылка на сообщение Поделиться на других сайтах
delshka 0 Опубликовано: 11 января 2011 Рассказать Опубликовано: 11 января 2011 (изменено) вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый. ( а хотсер таймвеб ) на этом хостинге есть крутые сайты, почему их не ломанули через phpMyAdmin смысл ламать phpMyAdmin, ну и dle фуфловые сайты трогать. по поводу защиты заливки в папку upload как это сделать ? Изменено 11 января 2011 пользователем delshka Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 11 января 2011 Рассказать Опубликовано: 11 января 2011 вы хотите сказать что тот хостинг где я размещаю сайт, сайт который ни кому не нужен, фуфловый где вам такое писали?по поводу защиты заливки в папку upload как это сделать Начните с соблюдения правил форума. Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 11 января 2011 Рассказать Опубликовано: 11 января 2011 celsoft, А как научиться выявлять такие вот подозрительные модули через которые якобы вся беда? Или довольствоваться стандартными средствами DLE что в принципе не вижу возможным. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.