valery555 0 Опубликовано: 27 ноября 2011 Рассказать Опубликовано: 27 ноября 2011 Здравствуйте. Сайт http://litvik.ru/ был взломан 3 дня назад. Версия движка была 9,2, лицензия. Вставлялись скрипты, я удалял. Админские пароли менялись неоднократно. Это не помогло. Обновился до 9,4. Вычистил все, пароли поменял. Все компы проверены на вирусы. И все равно хакеры каким-то образом авторизируются в админке, скрипты вставляются по-новой. Отследил по логу в «Список действий в админпанели» .Спасибо за лог, очень удобно. Заходят, не понятно как, присваивают статус админа пользователям, которые давно не заходили на сайт, или создают новых и под ними уже вставляются скрипты. Бан бессмыслен. Подскажите, как с этим бороться? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 27 ноября 2011 Рассказать Опубликовано: 27 ноября 2011 То что записывается в лог в админпанели говорит о том что в админпанель входят абсолютно легально, не используя никаких уязвимостей в скрипте, потому как в противном случае в лог авторизация бы не попала. В лог записывается информация только о легальном входе в админпанель, т.е. с использованием правильного логина и пароля, которому разрешен доступ. А в у вас скорее всего записи об админах делаются напрямую в БД минуя скрипт. Во первых нужно оставлять только одного администратора, во вторых нужно в админпанели антивирусом проверить и удалить все на что он укажет, включая все сторонние скрипты и модификации, и самое главное это уязвимое серверное ПО на вашем сервере. У вас стоит старый phpMyAdmin в открытом доступе на который выпущено огромное количество патчей, на закрытие уязвимостей позволяющих заливать шеллы на сервер, при этом чтобы залить шелл не нужно даже знать паролей к БД. Вам нужно срочно обновлять phpMyAdmin и менять путь к нему, чтобы никто кроме вас не знал где он распологается. Ну и искать и удалять шеллы, которые теперь могут быть на сервере вне папки со скриптом DLE Цитата Ссылка на сообщение Поделиться на других сайтах
valery555 0 Опубликовано: 28 ноября 2011 Рассказать Опубликовано: 28 ноября 2011 Автор Спасибо за разьяснения! Цитата Ссылка на сообщение Поделиться на других сайтах
valery555 0 Опубликовано: 28 ноября 2011 Рассказать Опубликовано: 28 ноября 2011 Автор Нужно в админпанели антивирусом проверить и удалить все на что он укажет, включая все сторонние скрипты и модификации Поставил проверять в админке антивирусом файлы скрипта еще утром... 6 часов прошло, а он висит... Антивирус так долго проверяет? Это нормально? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 28 ноября 2011 Рассказать Опубликовано: 28 ноября 2011 Нет проверяет он быстро. У вас давно скрипт уже не работает, ни о каких часах речи быть не может. Проверка занимает секудны, иногда при большом количестве загруженных на сервер файлов минуты. Поэтому если у вас очень много залито файлов картинок через скрипт, то вам нужно увеличить таймауты, на время выполнения скрипта в php.ini хотя бы до двух трех минут, как правило по умолчанию 30 секунд стоит в настройках сервера. Цитата Ссылка на сообщение Поделиться на других сайтах
inspred 0 Опубликовано: 28 ноября 2011 Рассказать Опубликовано: 28 ноября 2011 (изменено) Поищите шелл в папке uploads, особенно в папке с изображениями к новостям. find rootdir/uploads -name "*php" Настройте nginx таким образом чтобы он отдавал только разрешенные типы файлов из этой папки. Изменено 28 ноября 2011 пользователем inspred Цитата Ссылка на сообщение Поделиться на других сайтах
valery555 0 Опубликовано: 28 ноября 2011 Рассказать Опубликовано: 28 ноября 2011 Автор celsoft: Спасибо, помогло. Антивирус работает. inspred: Обязательно проверю. Благодарю за совет. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.