Перейти к публикации

Рекомендованные сообщения

А вот в сети нашел еще информацию, что dumper уязвимый.

Ссылки:

https://sypex.net/forum/viewtopic.php?f=3&t=1100

http://drupalhosting.ru/newsletters/%D1%83%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-%D0%B2-%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B5%D0%BC-%D0%BF%D0%BE

У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь.

Ссылка на сообщение
Поделиться на других сайтах

А вот в сети нашел еще информацию, что dumper уязвимый.

В дампер DLE можно попасть только будучи администратором на сайте. Иначе к в него зайти невозможно, плюс у него нет функций в которых была найдена уязвимость для дампера. Проблема может быть только если вы используете дампер отдельно от DLE как независимый скрипт на своем сервере.

Ссылка на сообщение
Поделиться на других сайтах

Подтверждаю, коснулась таже проблема, что и у ТС.

23 числа появился файл

./engine/cache/system/minify_0bac09ee6e84b2bba5c612a87e5a2f6b.php

Ссылка на сообщение
Поделиться на других сайтах

Смотрите аксесс логи сайта.

К примеру на 15:11 если залили в это время.

Ссылка на сообщение
Поделиться на других сайтах

А вот в сети нашел еще информацию, что dumper уязвимый.

Ссылки:

https://sypex.net/fo....php?f=3&t=1100

http://drupalhosting...BC-%D0%BF%D0%BE

У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь.

Про дампер интересно, у меня стоит sypex как раз. Почитал темы, в нем дырок полно, удалю, сдается мне оттуда ноги вырости могли. Господа, у кого еще Sypex стоит из взломанных?

Единственное что заметил, это что в config.php добавили какой то адрес партнерки

Сейчас глянул в свой конфиг файл, там была строчка вписана, которая должна быть автоматически качать обновление браузера если ты заходишь из Android-устройство, короче фейковый блокер/вирус или шпион для Андроид. Я с планшета по своему сайт прыгал последние 2 дня, ничего не качалось, возможно не все успел взломщик доделать, так как я в течение часа после пропажи файлов все исправил, а вот на одно сайте конкурентском такую фигню видел, захожу а там качается что-то, а на сайт не пускает.

Изменено пользователем Volfgang
Ссылка на сообщение
Поделиться на других сайтах

А вот в сети нашел еще информацию, что dumper уязвимый.

Ссылки:

https://sypex.net/fo....php?f=3&t=1100

http://drupalhosting...BC-%D0%BF%D0%BE

У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь.

Про дампер интересно, у меня стоит sypex как раз. Почитал темы, в нем дырок полно, удалю, сдается мне оттуда ноги вырости могли. Господа, у кого еще Sypex стоит из взломанных?

У меня теже проблемы, но и без sypex. Так что не думаю что из-за него.

Ссылка на сообщение
Поделиться на других сайтах

Про дампер интересно, у меня стоит sypex как раз.

у меня такого нет, собственно вообще ничего нет, а в mysql доступ только через cpanel

короче, что я еще сделал:

  • обновил софт на сервере: php,apache,mysql
  • установил антивирус Zeos

несколько дней - полет нормальный

Ссылка на сообщение
Поделиться на других сайтах

Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер?

Ссылка на сообщение
Поделиться на других сайтах

http://www.pr-cy.ru/qa/question/12315

пошла прямо волна взломов DLE. Хотя и не глобальная как я понимаю. Возможно сему виной сторонние модули или определенные настройки DLE или php.

Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер?

А с чего у вы предположили, что может быть из-за этого? Есть мнение где там может быть дырка?

Ссылка на сообщение
Поделиться на других сайтах

Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер?

Только картинки.

http://www.pr-cy.ru/qa/question/12315

пошла прямо волна взломов DLE. Хотя и не глобальная как я понимаю. Возможно сему виной сторонние модули или определенные настройки DLE или php.

Сторонниe модули вряд ли. У меня нету таковых по сути, лишь пара легких хаков, которые добавляют вывод пару простеньких функций, элементарный функционал и слишком спецефический, вряд ли у кого-то есть еще. Скорее всего дырка или у хостеров, например в PHPmyADMIN, как нам указывает уважаемый Celsoft, а может действительно есть в DLE дырка, так как взлом происходит именно на DLE движке, пытался поискать подобные взломы на сайтах с другими движками, у них тихо на форумах. Если проблема в DLE, я думаю патч скоро появится. Хуже, если проблема где-то в ПО сервера, и не факт, что уже есть патч закрывающий это.

Изменено пользователем Volfgang
Ссылка на сообщение
Поделиться на других сайтах

Также взломали сайт аналогичным способом уже 2-й раз.

Версия дле самая новая, патч стоит. сторонних модулей нет.

Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д..

Вообщем странно это все, что делать - хз.

Ссылка на сообщение
Поделиться на других сайтах

Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д..

Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры.

Ссылка на сообщение
Поделиться на других сайтах

Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д..

Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры.

ок, спасибо большое)

ато обычно как всегда поддержка сервера спихает все на движки)

Удалил phpmyadmin, думаю еще ставить ITK

А может подскажет кто-то, какие функции php можно отключить, для безопастности? На сервере только сайты на DLE

Изменено пользователем silva
Ссылка на сообщение
Поделиться на других сайтах

какие функции php можно отключить, для безопастности?

Не думаю что это может быть каким то гарантом безопасности.

Ссылка на сообщение
Поделиться на других сайтах

какие функции php можно отключить, для безопастности?

Не думаю что это может быть каким то гарантом безопасности.

а еще я заметил, что в зараженом файле владелец и группа был какой-то вроде имя папки "engine/cache" или что то в этом роде связанное, а не скажем "user_rr" как у меня выставлено для этого пользователя которому принадлежит сайт. может это поможет определить ненмого уязвимое место, через которое залили шел...

Ссылка на сообщение
Поделиться на других сайтах

Не думаю что это может быть каким то гарантом безопасности.

ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать

у меня отключены эти

exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname[/CODE]

и в такой конфигурации шелл перестал работать

как временный вариант, сойдет :)

Ссылка на сообщение
Поделиться на других сайтах

ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать

Шелл это PHP скрипт, все зависит как написать его, модифицировать файлы, читать данные доступа, и прочее, можно и без этих функций.

Ссылка на сообщение
Поделиться на других сайтах

Не думаю что это может быть каким то гарантом безопасности.

ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать

у меня отключены эти

exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname
и в такой конфигурации шелл перестал работать как временный вариант, сойдет :)
Зачем мелочится? disable_functions =
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,shell_exec,system,passthru,popen,proc_open,proc_close,proc_get_status,proc_nice,proc_terminate,leak,listen,chgrp,apache_note,apache_setenv,closelog,debugger_off,debugger_on,define_sys,php_uname, getmyuid, getmypid,diskfreespace,dl,posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix, _getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname,posix_uname[/code]

Изменено пользователем llbarmenll
Ссылка на сообщение
Поделиться на других сайтах

Такая же проблема, повторилось уже второй раз. Пошарил все файлы, вроде ничего не изменяли, хотя может не там смотрю. все файлы последний раз менялись 3.3.2012(сам что то делал)

Попросил хостера проверить все, сказали никаких проблем и никаких проникновений в лог файлах не отмечено.

Сменил везде пароли, перепроверил права на папки, поубавлял везде где только можно.

Ссылка на сообщение
Поделиться на других сайтах

Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер?

А с чего у вы предположили, что может быть из-за этого? Есть мнение где там может быть дырка?

Хочу проследить закономерность.

Ссылка на сообщение
Поделиться на других сайтах

alexmurphy,

давайте тогда определимся что такое случайный пользователь и какие именно файлы может загружать

у меня, например, можно загружать только картинки и только зарегистрированным пользователям

Ссылка на сообщение
Поделиться на других сайтах

Внесу свои 5 копеек в тему.

В логах было обнаружено следующее:

95.79.105.23 - - [23/Dec/2012:23:03:10 +0100] "GET /index.php?do=register HTTP/1.0" 200 6703

95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "POST /index.php?do=register HTTP/1.0" 200 6768

95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "GET /engine/modules/antibot.php HTTP/1.0" 200 3167

95.79.105.23 - - [23/Dec/2012:23:03:25 +0100] "POST /engine/ajax/registration.php HTTP/1.0" 200 179

95.79.105.23 - - [23/Dec/2012:23:03:39 +0100] "POST /index.php?do=register HTTP/1.0" 200 6153

95.79.105.23 - - [23/Dec/2012:23:03:41 +0100] "POST /index.php?do=register HTTP/1.0" 200 5452

95.79.105.23 - - [23/Dec/2012:23:31:28 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:31:29 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 64708

95.79.105.23 - - [23/Dec/2012:23:31:30 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154

95.79.105.23 - - [23/Dec/2012:23:31:31 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 19170

95.79.105.23 - - [23/Dec/2012:23:31:32 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:31:40 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:31:43 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:32:02 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 17540

95.79.105.23 - - [23/Dec/2012:23:32:04 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 20572

95.79.105.23 - - [23/Dec/2012:23:32:06 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14269

95.79.105.23 - - [23/Dec/2012:23:32:08 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:33:19 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:33:22 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154

95.79.105.23 - - [23/Dec/2012:23:33:24 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14261

95.79.105.23 - - [23/Dec/2012:23:33:26 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14810

95.79.105.23 - - [23/Dec/2012:23:33:27 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14945

95.79.105.23 - - [23/Dec/2012:23:33:39 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 15466

На следующий день, данная информация из логов пропала.

По данному ip на всех сайтах был зарегистрирован пользователь под ником wnet с имейлом super.wnet@ya.ru

Поиск измененных файлов по дате не дал результатов, тк у шелла стояла дата 2011 года.

Шелл заливался повторно, после запрета регистрации на сайте, взломов обнаружено не было.

Название шелла WSO 2.5. Этот же шелл, был найден еще на нескольких серверах знакомых, с сайтами на дле.

В файл dbconfig.php был добавлен код, который загружал пользователям сайта вирусы.

Надеюсь данная информация окажется полезной.

Ссылка на сообщение
Поделиться на других сайтах

Внесу свои 5 копеек в тему.

В логах было обнаружено следующее:

95.79.105.23 - - [23/Dec/2012:23:03:10 +0100] "GET /index.php?do=register HTTP/1.0" 200 6703

95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "POST /index.php?do=register HTTP/1.0" 200 6768

95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "GET /engine/modules/antibot.php HTTP/1.0" 200 3167

95.79.105.23 - - [23/Dec/2012:23:03:25 +0100] "POST /engine/ajax/registration.php HTTP/1.0" 200 179

95.79.105.23 - - [23/Dec/2012:23:03:39 +0100] "POST /index.php?do=register HTTP/1.0" 200 6153

95.79.105.23 - - [23/Dec/2012:23:03:41 +0100] "POST /index.php?do=register HTTP/1.0" 200 5452

95.79.105.23 - - [23/Dec/2012:23:31:28 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:31:29 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 64708

95.79.105.23 - - [23/Dec/2012:23:31:30 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154

95.79.105.23 - - [23/Dec/2012:23:31:31 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 19170

95.79.105.23 - - [23/Dec/2012:23:31:32 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:31:40 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:31:43 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:32:02 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 17540

95.79.105.23 - - [23/Dec/2012:23:32:04 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 20572

95.79.105.23 - - [23/Dec/2012:23:32:06 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14269

95.79.105.23 - - [23/Dec/2012:23:32:08 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334

95.79.105.23 - - [23/Dec/2012:23:33:19 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 13158

95.79.105.23 - - [23/Dec/2012:23:33:22 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154

95.79.105.23 - - [23/Dec/2012:23:33:24 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14261

95.79.105.23 - - [23/Dec/2012:23:33:26 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14810

95.79.105.23 - - [23/Dec/2012:23:33:27 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14945

95.79.105.23 - - [23/Dec/2012:23:33:39 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 15466

На следующий день, данная информация из логов пропала.

По данному ip на всех сайтах был зарегистрирован пользователь под ником wnet с имейлом super.wnet@ya.ru

Поиск измененных файлов по дате не дал результатов, тк у шелла стояла дата 2011 года.

Шелл заливался повторно, после запрета регистрации на сайте, взломов обнаружено не было.

Название шелла WSO 2.5. Этот же шелл, был найден еще на нескольких серверах знакомых, с сайтами на дле.

В файл dbconfig.php был добавлен код, который загружал пользователям сайта вирусы.

Надеюсь данная информация окажется полезной.

Как-то такая очередность действий смахивает на дырку в DLE при регистрации :) Я конечно не спец, но чисто логически.

Ссылка на сообщение
Поделиться на других сайтах

у меня также юзер есть wnet с мылом superwnet@ya.ru

22 числа регистрация.

Загрузка файлов для зарегистрированных пользлвателей было включена, теперь отключил все, что касается добавления новостей...

Ссылка на сообщение
Поделиться на других сайтах

у меня также юзер есть wnet с мылом superwnet@ya.ru

22 числа регистрация.

Загрузка файлов для зарегистрированных пользлвателей было включена, теперь отключил все, что касается добавления новостей...

У меня тоже такой юзер есть. Регистрация за пол часа до взлома. Заливка разрешена только картинок. Видать знает как обойти.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...