Перейти к публикации

Рекомендованные сообщения

Здравствуйте.

Сайт http://litvik.ru/ был взломан 3 дня назад. Версия движка была 9,2, лицензия.

Вставлялись скрипты, я удалял. Админские пароли менялись неоднократно. Это не помогло. Обновился до 9,4. Вычистил все, пароли поменял. Все компы проверены на вирусы. И все равно хакеры каким-то образом авторизируются в админке, скрипты вставляются по-новой. Отследил по логу в «Список действий в админпанели» .Спасибо за лог, очень удобно.

Заходят, не понятно как, присваивают статус админа пользователям, которые давно не заходили на сайт, или создают новых и под ними уже вставляются скрипты. Бан бессмыслен. Подскажите, как с этим бороться?

Ссылка на сообщение
Поделиться на других сайтах

То что записывается в лог в админпанели говорит о том что в админпанель входят абсолютно легально, не используя никаких уязвимостей в скрипте, потому как в противном случае в лог авторизация бы не попала. В лог записывается информация только о легальном входе в админпанель, т.е. с использованием правильного логина и пароля, которому разрешен доступ.

А в у вас скорее всего записи об админах делаются напрямую в БД минуя скрипт. Во первых нужно оставлять только одного администратора, во вторых нужно в админпанели антивирусом проверить и удалить все на что он укажет, включая все сторонние скрипты и модификации, и самое главное это уязвимое серверное ПО на вашем сервере. У вас стоит старый phpMyAdmin в открытом доступе на который выпущено огромное количество патчей, на закрытие уязвимостей позволяющих заливать шеллы на сервер, при этом чтобы залить шелл не нужно даже знать паролей к БД. Вам нужно срочно обновлять phpMyAdmin и менять путь к нему, чтобы никто кроме вас не знал где он распологается. Ну и искать и удалять шеллы, которые теперь могут быть на сервере вне папки со скриптом DLE

Ссылка на сообщение
Поделиться на других сайтах

Нужно в админпанели антивирусом проверить и удалить все на что он укажет, включая все сторонние скрипты и модификации

Поставил проверять в админке антивирусом файлы скрипта еще утром... 6 часов прошло, а он висит... Антивирус так долго проверяет? Это нормально?

Ссылка на сообщение
Поделиться на других сайтах

Нет проверяет он быстро. У вас давно скрипт уже не работает, ни о каких часах речи быть не может. Проверка занимает секудны, иногда при большом количестве загруженных на сервер файлов минуты. Поэтому если у вас очень много залито файлов картинок через скрипт, то вам нужно увеличить таймауты, на время выполнения скрипта в php.ini хотя бы до двух трех минут, как правило по умолчанию 30 секунд стоит в настройках сервера.

Ссылка на сообщение
Поделиться на других сайтах

Поищите шелл в папке uploads, особенно в папке с изображениями к новостям. find rootdir/uploads -name "*php"

Настройте nginx таким образом чтобы он отдавал только разрешенные типы файлов из этой папки.

Изменено пользователем inspred
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...