Hander 0 Опубликовано: 15 мая 2012 Рассказать Опубликовано: 15 мая 2012 Помогите, уже нет никаких сил бороться. Версия DLE 9.5 Периодически прописывается вирус, либо в main.tpl либо в файлы *.js что в папке js в шаблоне. Причем я ставил уже права на эти файлы 444, все равно при заражении права меняются на 644 и я не могу с этими файлами ничего сделать, только удалить. А файлы *.js вообще не могу удалить как и саму папку js, нет прав доступа, приходится создавать новую папку jss, jsss и так далее и прописывать новые пути в main.tpl Заражение происходит периодически раз в сутки. Вирус: HTML/ScrInject.B.Gen Хостинг платный, выделенный сервер, хостинг mtw.ru Техподдержка говорит, что сервер неможет быть заражен, заражение происходить через скрипты сайта. Возможно ли что появилась какая-то уязвимость в движке? Могу предоставить логи сервера. Ссылка на сообщение Поделиться на других сайтах
Captain 636 Опубликовано: 15 мая 2012 Рассказать Опубликовано: 15 мая 2012 Почитайте эту тему: http://forum.dle-news.ru/index.php?showtopic=59186 Ссылка на сообщение Поделиться на других сайтах
Hander 0 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 Автор Вот что написал хостер! После тщательной проверки сайта был найден backdoor (FilesMan). Уязвимость, использованная злоумышленником заключалась в установленных правах 777 на директорию /uploads. В данную директорию был подгружен скрипт (backdoor FilesMan) Проверка проводилась для доменов ****.ru, ****.ru. Есть вероятность наличия заражения для файлов: ****.ru (FilesMan): html/uploads/posts/thumbs/tmp.phtml ****.ru: html/templates/Default/jss/time.js ****.ru: html/templates/Default/jss/script.js Заражены ли данные js файлы через backdoor? Ответить наверняка нельзя, ясно лишь то, что модифицируются файлы от пользователя nobody (под которым работает Apache Web-server). Потому их не может править FTP-пользователь. Как решить проблему? 1) Исправить скрипт, отвечающий для подгрузку файлов 2) Убрать права 777 со всех директорий. Данные метод будет бесполезен без исправления уязвимости в скрипте, выполняющем загрузку файлов! 3) Возможно, установить апач с mod_ruid (Apache будет работать от имени владельца сайта). Данные метод будет бесполезен без исправления уязвимости в скрипте, выполняющем загрузку файлов! Шелла я выловил, если разработчикам движка он нужен могу предоставить для исследования в упакованном виде. Ссылка на сообщение Поделиться на других сайтах
celsoft 6222 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 Hander, Загрузить через DLE файл phtml невозможно в принципе, поэтому исправлять в файле загрузки попросту нечего (при условии что используются оригинальные файлы скриптов). То что у вас этот файл лежит в этой папке, это не значит что он был залит через DLE. И первое что вам нужно делать, это убирать с сайта все сторонние модули и скрипты которые есть на сайте под этим же аккаунтом. Также проверять соседние сайты на вашем же аккаунте, потому как залить могли через соседние сайты и скрипты. Ссылка на сообщение Поделиться на других сайтах
Hander 0 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 Автор То, что загрузить через DLE подобный файл нельзя это понятно. используется лицензинный движок DLE 9.5. Но как-то он туда попал, это факт. Мы единственные владельцы на своем сервере, и выделен он специально под наш ресурс, и у нас там единственный сайт. Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия). Ссылка на сообщение Поделиться на других сайтах
celsoft 6222 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия). Этого вы считаете недостаточно? Но как-то он туда попал, это факт. 1. Сторонние скрипты и модули 2. Украденные доступы 3. Уязвимости в другом серверном ПО, например последнее время часто взломы через уязвимымй phpMyAdmin. Ссылка на сообщение Поделиться на других сайтах
Captain 636 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия). Лицензия это конечно круто, но убейте этот форум "апстену" Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 16 мая 2012 Рассказать Опубликовано: 16 мая 2012 То, что загрузить через DLE подобный файл нельзя это понятно. используется лицензинный движок DLE 9.5. Но как-то он туда попал, это факт. Мы единственные владельцы на своем сервере, и выделен он специально под наш ресурс, и у нас там единственный сайт. Единственный сторонний модуль на сайте это DLE Forum 2.6.1 (лицензия). Возможно у Вас не последняя версия phpMyAdmin - обновите её и попросите изменить к ней путь так чтобы только Вы знали по какому адресу она находится. Мне тоже всякую дрянь заливали пока это не сделал. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.