Новая Уязвимость DLE

[Гость filmxago]

Уважаемые форумчаны!

Возможно кто-то уже попался на не добросовестных малолетних хакеров, которые готовы завалить сайт вирусами чтобы получить денежку, а сайт создать им видимо руки не с того места растут!!!

Вообщем проблема в следующем:

DLE 9.2

Уже более недели борюсь с наглым фашистом, который вставляет в "рекламный модуль" свои трояны.

Симптомы:

1. ФТП доступа нет. Так как по дате изменения нет редактированных файлов. (По логах также следов нет!!!)

2. DLE адиминка аналогично, если же пробовать поставить код, дата на фтп сразу бы сменилась.

3. Доступ к БД ограничен лижь доступом сайта по IP. Даже если заполучил пароль, его вставить просто некуда!

Если не отображается дата изменения, значит взломщик каким-то образом прописывает в таблицу базы данных dle_banner, только так можно сделать запись чтобы дата не изменилась. И вот возникает следующий вопрос как он тогда мог сделать? Тут можно судить уже о новой уязвимости.. потому что другого вида взлома я не вижу. Шелов и прочей ерунды не нашел, их просто нету.. Везде стоят верные права и .htacess. Вариант один, записывает ложным запросом в БД или как? Как словить злодея, и залатать багу?:

Помогите решить проблему!

Буду очень признателен за помощь!

Изменено 26 августа 2011 пользователем filmxago

[celsoft 5 993]

Во первых нет никаких новых уязвимостей, во вторых если вам нужна помощь начните с выполнения правил форума.

Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.

3. Доступ к БД ограничен лижь доступом сайта по IP. Даже если заполучил пароль, его вставить просто некуда!

любые запросы к БД идут именно от вашего IP сервера, достаточно получить ваши логин и пароль, более ничего не нужно, поэтому ваше утверждение в корне неверно.

Поэтому выполняйте правила форума, и получите рекомендации по тому что вам нужно делать. Никакие FTP и даты изменения файлов которые вы смотрите никакого отношения к вашей проблеме не имеют.

[Гость filmxago]

Извиняюсь что не написал сайт.

сайт filmix.net

[celsoft 5 993]

Когда я пишу об отсутствии уязвимости, то подразумеваю под этим оригинальные файлы скрипта, а не с установленными сторонними модификациями. У вас стоят модификации скрипта причем не одна и это видно невооруженным взглядом.

Более того вы говорите у вас нет phpMyAdmin, а по этому адресу что https://filmix.net/myadmin/ ? Прекрасно отоборажается phpMyAdmin и заходить может кто угодно. Причем у вас там старая уязвимая версия, установленная еще стантдартно с панелью ISP, которая используется на вашем сервере.

Вам нужно сделать теперь следующее:

1. Полностью восстановить оригинальные файлы скрипта, убрав все сторонние модификации, удалить любые посторонние скрипты из других папок на сервере если таковые имеются, в админпанели запустить антивирус в админпанели и удалить все на что он укажет.

2. Убрать доступ к админпанели у других лиц если таковые имеются

3. Сменить пароли к админпанели

4. Обновить ваш старый phpMyAdmin который у вас там стоит и адрес на который мы вам дали, сменить все доступы к БД которые имеются в том числе и на root. Установить ограничения по IP не на БД, а на ваш установленный myPHPAdmin, на всю папку и под папки.

4. Нанять системного администратора, если вы сами не можете, который проверит вам состояние всех файлов на сервере, а не на домене. Т.к. это внутренне установленный myPHPAdmin и через него могли залить шелл во внутренние системные папки, а не на папки домена.

[inspred 0]

На 2-х моих сайтах и у моего знакомого (у всех лицензии) тоже самое, добавляют в таблицу с активным баннером js код.

Ставили сервер на мониторинг - это не пост запрос, пхпмадмин на 82 порту с двойной авторизацией, поставил все баг фиксы дле - ничего не помогло.

JS код вставляют на время, чтобы их трудно было выловить, например на пару часов - потом убирают - это видно в статистике что трафик проседал. Когда тупо настроил все баннеры и в engine/inc/banners.php - написал die(); - чтобы он не открывался - кода небыло.

По фтп я тоже не заходу только по ссш.

Если у кого-то такие же проблемы были напишите мне в личку у кого какие соображения, нужно пофиксить это, я вообще не уже не знаю что это, щас еще рез пересмотрю код banners.php

Есть подозрение на модификацию самого файла banners.php - некоторым приходится удалять вредоностный код напрямую через базу, поскольку после "удаления" через систему управления рекламой код остается.

Поставили другой мониторинг более жесткий, надеюсь словим засранца.

Изменено 11 сентября 2011 пользователем inspred

[Einc9o 1]

после взлома все файлы меняли, левые админы или модеры есть?

к банерам не только админ имеет доступ

if( !$user_group[$member_id['user_group']]['admin_banners'] ) {

msg( "error", $lang['index_denied'], $lang['index_denied'] );

}

[inspred 0]

после взлома все файлы меняли, левые админы или модеры есть?

к банерам не только админ имеет доступ

if( !$user_group[$member_id['user_group']]['admin_banners'] ) {

msg( "error", $lang['index_denied'], $lang['index_denied'] );

}

Увы причина не в этом, доступ к упаравлению баннерами есть только у меня

if($member_db[1] != 1){ msg("error", $lang['addnews_denied'], $lang['db_denied']); }

Мы то найдем причину, но нужно подождать пока еще раз код подсунут, может как-то через cookies или шелл залили - все уязвимости которые обсуждались на ачате я пофиксил вроде, посмотрим...

Изменено 12 сентября 2011 пользователем inspred

[Old_chekist 4]

$member_db чё за массив такой?

[ru.slanov 20]

$member_db чё за массив такой?

группа пользователя

[Critical Error 155]

Насколько знаю Я группа пользователя таким массивом выводитя

$member_id['user_group']

А переменную $member_db Я впервые вижу о_0

[celsoft 5 993]

А переменную $member_db Я впервые вижу о_0

У пользователя очень старая версия скрипта, раньше там данная переменная была.

[inspred 0]

Всетаки это пост запросы на модуль banners, заходит человек (не бот) через прокси

Уводят куки администратора скорее всего, но как?... у меня Linux так что врятли это вирус, короче будем думать

Проверку браузера и айпи делать не буду, хочу докопатся до истины, пускай еще полазит, может больше инфы соберем, как-то же запросы проходят, значит у них есть куки с логином и паролем админа, но откуда...

UPD

Короче почти понял как меня ламали, дело скорее не в ДЛЕ а в моей неострожности...(понял как куки уводили), хитрющие такие

Изменено 13 сентября 2011 пользователем inspred

[Hudson_Hawk 1]

Ye b rf

Всетаки это пост запросы на модуль banners, заходит человек (не бот) через прокси

Уводят куки администратора скорее всего, но как?... у меня Linux так что врятли это вирус, короче будем думать

Проверку браузера и айпи делать не буду, хочу докопатся до истины, пускай еще полазит, может больше инфы соберем, как-то же запросы проходят, значит у них есть куки с логином и паролем админа, но откуда...

UPD

Короче почти понял как меня ламали, дело скорее не в ДЛЕ а в моей неострожности...(понял как куки уводили), хитрющие такие

Ну и как же, расскажи ... всем интересно.

[dennn 0]

Лично мне ничего не помогало в борьбе с вирусами до тех пор - пока не отключили phpmyadmin на сервере.

[- Den - 32]

dennn, его не отключать нужно, а обновлять.

[Captain 613]

dennn, его не отключать нужно, а обновлять.

+ alias менять. Но если туды редко лазишь можно и отключить, но, при этом конечно обновлений ни кто не отменял, согласен. Но это не для тех у кого шаред-хостинг.

inspred, сказал "А", говори и "Б", как вам выше и написали.

[inspred 0]

та я пока не понял, если чесно

куки оказались не мои, а обычного пользлвателя!!! с его куками отправлялись пост запросы!!! я до сих пор не пойму каким образом они проходили

Я подставил себе его куки и сессию у меня ничего не получилось...

Короче, я если чесно не понял каким образом они посовывали js код...но больше такого не делают, вот что я сделал:

1) Доступ ко всем административным разделам имеют доступ только с моего ip (VPN, можно законектится с любой точки мира)

2) Включил дополнительную авторизацию при заходе в админ панель

3) Дописал проверку user_agent, если меняется выкидывает с ака

Еще скоро сделаю, что будет выкидывать с ака если меняется страна (по ip (geo ip как модуль))

После этого взломов небыло, но и так пост запросы не должны были проходить Я не понимаю КАК они под обычным юзером умудрялись через админку просовывать js код....

Я думал что у меня уводили куки, но мониторинг показал что нет, куки, сессия, dle_login_hash - от обычного юзера!!! как проходили запросы я не понимаю

[ower_xz 116]

У меня в логах статистики кучка запросов:

/engine/classes/js/+a).html(%7D)%3breturn!1%7Dfunction%20CheckLogin()%7Bvar%20a=document.getElementById(

/engine/classes/js/+a).html():$(

/engine/classes/js/%7d,500).html(a).show(

/engine/classes/js/).html()%3bvar%20b=

/engine/classes/js/).html(a)%3bvar%20a=($(window).width()-$(

/engine/classes/js/,data:c,complete:function(a,b,c)%7bc=a.responseText,a.isResolved()&&(a.done(function(a)%7bc=a%7d),i.html(g[/code]

И в таком духе... Даже DLE_Spider.exe в логах присутствует... Сервер пока блокирует...