Вирус достал!

[Hander 0]

Помогите, уже нет никаких сил бороться.

Версия DLE 9.5

Периодически прописывается вирус, либо в main.tpl

либо в файлы *.js что в папке js в шаблоне.

Причем я ставил уже права на эти файлы 444, все равно при заражении права меняются на 644 и я не могу с этими файлами ничего сделать, только удалить.

А файлы *.js вообще не могу удалить как и саму папку js, нет прав доступа, приходится создавать новую папку jss, jsss

и так далее и прописывать новые пути в main.tpl

Заражение происходит периодически раз в сутки.

Вирус: HTML/ScrInject.B.Gen

Хостинг платный, выделенный сервер, хостинг mtw.ru

Техподдержка говорит, что сервер неможет быть заражен, заражение происходить через скрипты сайта.

Возможно ли что появилась какая-то уязвимость в движке?

Могу предоставить логи сервера.

[Captain 623]

Почитайте эту тему:

http://forum.dle-news.ru/index.php?showtopic=59186

[Hander 0]

Вот что написал хостер!

После тщательной проверки сайта был найден backdoor (FilesMan).

Уязвимость, использованная злоумышленником заключалась в установленных

правах 777 на директорию /uploads. В данную директорию был подгружен скрипт

(backdoor FilesMan)

Проверка проводилась для доменов ****.ru, ****.ru. Есть вероятность

наличия заражения для файлов:

****.ru (FilesMan): html/uploads/posts/thumbs/tmp.phtml

****.ru: html/templates/Default/jss/time.js

****.ru: html/templates/Default/jss/script.js

Заражены ли данные js файлы через backdoor? Ответить наверняка нельзя, ясно

лишь то, что модифицируются файлы от пользователя nobody (под которым

работает Apache Web-server). Потому их не может править FTP-пользователь.

Как решить проблему?

1) Исправить скрипт, отвечающий для подгрузку файлов

2) Убрать права 777 со всех директорий. Данные метод будет бесполезен без

исправления уязвимости в скрипте, выполняющем загрузку файлов!

3) Возможно, установить апач с mod_ruid (Apache будет работать от имени

владельца сайта). Данные метод будет бесполезен без исправления уязвимости в

скрипте, выполняющем загрузку файлов!

Шелла я выловил, если разработчикам движка он нужен могу предоставить для исследования в упакованном виде.

Изменено 16 мая 2012 пользователем Hander

[celsoft 6 072]

Hander,

Загрузить через DLE файл phtml невозможно в принципе, поэтому исправлять в файле загрузки попросту нечего (при условии что используются оригинальные файлы скриптов). То что у вас этот файл лежит в этой папке, это не значит что он был залит через DLE. И первое что вам нужно делать, это убирать с сайта все сторонние модули и скрипты которые есть на сайте под этим же аккаунтом. Также проверять соседние сайты на вашем же аккаунте, потому как залить могли через соседние сайты и скрипты.

[Hander 0]

То, что загрузить через DLE подобный файл нельзя это понятно. используется лицензинный движок DLE 9.5. Но как-то он туда попал, это факт. Мы единственные владельцы на своем сервере, и выделен он специально под наш ресурс, и у нас там единственный сайт. Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия).

[celsoft 6 072]

Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия).

Этого вы считаете недостаточно?

Но как-то он туда попал, это факт.

1. Сторонние скрипты и модули

2. Украденные доступы

3. Уязвимости в другом серверном ПО, например последнее время часто взломы через уязвимымй phpMyAdmin.

[Captain 623]

Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия).

Лицензия это конечно круто, но убейте этот форум "апстену"

[hrompic 4]

То, что загрузить через DLE подобный файл нельзя это понятно. используется лицензинный движок DLE 9.5. Но как-то он туда попал, это факт. Мы единственные владельцы на своем сервере, и выделен он специально под наш ресурс, и у нас там единственный сайт. Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия).

Возможно у Вас не последняя версия phpMyAdmin - обновите её и попросите изменить к ней путь так чтобы только Вы знали по какому адресу она находится. Мне тоже всякую дрянь заливали пока это не сделал.