celsoft 6 082 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Я рекомендую всем у кого были проблемы, всегда обращаться в тех. поддержку, предоставлять доступы по FTP и к админпанели скрипта, для анализа сайта. Когда у вас один раз побывал шелл на сервере, с помощью него мог быть оставлен бекдор, в файлах скрипта и если все корректно не зачистить то все уже может повториться через оставленные бекдоры. Поэтому лучше обратиться в поддержку, ваш сервер будет проанализирован, файлы проверены, и даны необходимые рекомендации применительно к вашему сайту. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 celsoft, о, спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 (изменено) Автор celsoft, о, спасибо! Отпишитесь потом, что Вам саппорт посоветует. Закидывать одинаковыми обращениями пока не хочется, может есть что-то общее у нас, где-то прав многовато или вроде того А вообще, бекдоры конечно опасны, но я больше думаю о том, как туда изначально проник шелл, если проник раз, проникнет и два, даже если бекдор удалить, Сначала то бекдора небыло, его туда как-то засунули и точно не через FTP, значит есть обход... Изменено 1 января 2013 пользователем Volfgang Цитата Ссылка на сообщение Поделиться на других сайтах
alexmurphy 45 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 у меня также юзер есть wnet с мылом superwnet@ya.ru Если учесть что юзер wnet с мылом superwnet@ya.ru создавался на взломанных сайтах, можно предположить, что заливка шела все таки связана с регистрацией и наличием юзера в движке бд dle. Если бы уязвимость не была связана с dle, а, например была в серверном по, то и юзера не надо было бы создавать. Так как юзер создан, логично предположить что есть дыра в самом движке. 3 Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Автор у меня также юзер есть wnet с мылом superwnet@ya.ru Если учесть что юзер wnet с мылом superwnet@ya.ru создавался на взломанных сайтах, можно предположить, что заливка шела все таки связана с регистрацией и наличием юзера в движке бд dle. Если бы уязвимость не была связана с dle, а, например была в серверном по, то и юзера не надо было бы создавать. Так как юзер создан, логично предположить что есть дыра в самом движке. Полностью с Вами согласен. Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему. У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта. Есть вырезка из логов, где видно, что юзер регнулся и через 28 минут уже сидел через шелл. Вряд ли тут дело в PHPmyADMIN или другом ПО. Да и взломов на форумах других движков нет, если бы дырка была в ПО - пострадали бы админы сайтов на WP или Joomla, но на их форумах ничего нет, я сегодня опять проверял, а на DLE проблема обсуждается активно на многих форумах. Пора искать дырку.... 1 Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Volfgang, у меня пока что тихо, я просто обрадовался, что с помощью Владимира можно будет напрямую посмотреть ситуацию на сервере, как что то случится, буду сообщать. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему. Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем. У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта. Вряд ли тут дело в PHPmyADMIN или другом ПО. Т.к. вы не написали какой сайт у вас в взломали, я посмотрел на сайте за какими сайтами у вас лицензии числятся и отправил вам персональным сообщением адреса по которому у стоит уязвимое ПО в открытом виде и без каких либо патчей безопасности. Я незнаю но видимо вы думаете что никто кроме вас не знает структуру панели управления ISP, которая стоит у вас на сайтах? По непонятным причинам вы даже не соизволили предпринять меры которые уже неоднократно были написаны в этой теме. И таких не три человека, таких сотни и уже на протяжении года, и все одно и тоже. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 2 января 2013 Рассказать Опубликовано: 2 января 2013 Забыл упомянуть о том, что загрузка файлов пользователями на сервер была запрещена. Есть предположение, что шелл заливался через загрузку аватары. И так как из-за моей халатности с правами на папки и файлы, мне 2 года назад уже загружали шелл, то все последние патчи и рекомендации по защите выполнялись своевременно. Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 2 января 2013 Рассказать Опубликовано: 2 января 2013 Автор Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему. Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем. У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта. Вряд ли тут дело в PHPmyADMIN или другом ПО. Т.к. вы не написали какой сайт у вас в взломали, я посмотрел на сайте за какими сайтами у вас лицензии числятся и отправил вам персональным сообщением адреса по которому у стоит уязвимое ПО в открытом виде и без каких либо патчей безопасности. Я незнаю но видимо вы думаете что никто кроме вас не знает структуру панели управления ISP, которая стоит у вас на сайтах? По непонятным причинам вы даже не соизволили предпринять меры которые уже неоднократно были написаны в этой теме. И таких не три человека, таких сотни и уже на протяжении года, и все одно и тоже. Хорошо, пусть в DLE нет проблем, я спорить не буду, я далеко не так опытен как Вы. Просто смущает тот факт, что взломщик регистрируется перед взломом, следовательно ему нужен юзер на DLE, а это наводит на мысли. Однако, я могу ошибаться, как я уже сказал, я не опытен, поэтому и написал сюда. В приват получил сообщение, сегодня все исправлю, в любом случае это нужно исправить. Спасибо. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 2 января 2013 Рассказать Опубликовано: 2 января 2013 Просто смущает тот факт, что взломщик регистрируется перед взломом, следовательно ему нужен юзер на DLE, а это наводит на мысли. а зачем ему отсвечивать источник проблемы? Когда администратору можно продемонстрировать ложную активность. Либо производится предварительная модификация файлов скрипта, потом уже обращаются к скрипту и через его модифицированные файлы проводятся действия. Забыл упомянуть о том, что загрузка файлов пользователями на сервер была запрещена. Есть предположение, что шелл заливался через загрузку аватары. Это невозможно, если не модифицировать файлы скрипта. При загрузке аватара не используется имя файла, оно всегда меняется на стандартное foto_x.jpg и имя после загрузки никак не может стать выполняемым PHP файлом, причем обязательно это должна быть картинка, потому как она на сервер проходит только через библиотеку GD, она не сможет работать, если файл не картинка. Плюс обязательная проверка расширений файла, и картинка не выполняется как PHP скрипт сервером. Вот смотрите вы писали что у вас модифицирован был engine/data/dbconfig.php, напрямую к этому файлу не обратиться, но этот файл содержит данные подключения к БД, и соответственно он подключается скриптом, и для того чтобы запустить код который у вас был в модифицированном файле достаточно просто обратиться к index.php а не к engine/data/dbconfig.php и зловредный код из engine/data/dbconfig.php будет выполнен. Именно поэтому опасна модификация скриптов DLE, потому как все файлы скрипта взаимосвязаны. Поэтому вам нужно смотреть не регистрацию и загрузку аватаров, а источник модификации engine/data/dbconfig.php. А вы мыслите слишком просто, если увидели в логах регистрацию, то значит тут же нужно искать баг в регистрации. Это не так и не все так просто как может показаться на первый взгляд. Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 4 января 2013 Рассказать Опубликовано: 4 января 2013 (изменено) )) Перечитал, все от начала до конца, раза 3, и по ссылкам почитал, все что касается замечаний по серверу или хостингу для меня сложно, я больше по графике. Собрав волю в кулак, полез шерстить содержимое сайта. Нашел: строчку партнерки в конфиге, левый PHP файл в папке uploads/posts (содержимое зашифровано), ну и в шаблоне смартфон посторонний скрипт, это вычитал по одной из ссылок выше, ну изменены права на файлах и пропали некоторые хатачес. Сайт, alami.ru, у соседних сайтов тоже беда с хатачес и правами, но других изменений не обнаружил - пака по крайней мере Еще писал в другой ветке, все файлы TPL стили в одну строчку, я пытался править, через время снова изменяются в одну строчку. Изменено 4 января 2013 пользователем komnervov Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 Выручите пожалуйста, до чистился теперь на сайте не грузится графика, хоть подскажите в каком направлении смотреть. Голову уже сломал. alami.ru Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 Выручите пожалуйста, до чистился теперь на сайте не грузится графика, хоть подскажите в каком направлении смотреть. Голову уже сломал. alami.ruПроверяйте права на папки с картинками, проверяйте правильность .htaccess, а лучше просто всстановить из чистого дистриба 1 Цитата Ссылка на сообщение Поделиться на других сайтах
bonopard 0 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 А что за ето чудо на моём сайте за ковырялось Wa.KBL и антивирусы сайт блокируют как вредоносный , уже неделю рою и никак не нарою , вплоть был полностю обновлён двиг но именений не произошло, базу перековырял и нет , возможно у кого был такой Цитата Ссылка на сообщение Поделиться на других сайтах
fornex 3 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 куда выслать информацию о дырке в DLE, чтобы не в паблик? 2 Цитата Ссылка на сообщение Поделиться на других сайтах
bonopard 0 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 на мыло skarbnichka2011@gmail.com или ещё лутче в асю постучите 619243-нуль-три-пять Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 fornex, только сюда: http://dle-news.ru/index.php?do=feedbackна мыло skarbnichka2011@gmail.com или ещё лутче в асю постучите 619243-нуль-три-пять Вы то тут причём? Вы и есть паблик Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 bonopard, ты кто такой? давай, до свидания! Цитата Ссылка на сообщение Поделиться на других сайтах
bonopard 0 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 досвидос скажеш своей маме или ты самый рыжий, тут дырку искать надо а не понты свои гонять, если клиент двига так и всё Цитата Ссылка на сообщение Поделиться на других сайтах
fornex 3 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 ZEOS.IN, спасибо 1 Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 bonopard, включи мозг, лол впрочем я не имею права требовать невозможного 3 Цитата Ссылка на сообщение Поделиться на других сайтах
eqoist 1 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 (изменено) Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess вот в принципе сам файл на который жаловался антивирус дле http://depositfiles.com/files/sueiqfmrk посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится Изменено 5 января 2013 пользователем eqoist Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 (изменено) Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess вот в принципе сам файл на который жаловался антивирус дле http://depositfiles....files/sueiqfmrk посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится Чего там понимать-то... Kaspersky Internet Security 2013 Запрашиваемый URL-адрес не может быть предоставлен В запрашиваемом объекте по URL-адресу: http://fileshare5010.depositfiles.com/ auth-13574168929014d33a16f693362aaef8-95. 158.196.106-922230298-136315760-guest/ fs501-7/minify_466d076dc89ad73bd801f74fa 1a6617a.php Обнаружена угроза: объект заражен Backdoor.PHP.PhpShell.ct Изменено 5 января 2013 пользователем ower_xz Цитата Ссылка на сообщение Поделиться на других сайтах
eqoist 1 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess вот в принципе сам файл на который жаловался антивирус дле http://depositfiles....files/sueiqfmrk посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится Чего там понимать-то... Kaspersky Internet Security 2013 Запрашиваемый URL-адрес не может быть предоставлен В запрашиваемом объекте по URL-адресу: http://fileshare5010.depositfiles.com/ auth-13574168929014d33a16f693362aaef8-95. 158.196.106-922230298-136315760-guest/ fs501-7/minify_466d076dc89ad73bd801f74fa 1a6617a.php Обнаружена угроза: объект заражен Backdoor.PHP.PhpShell.ct Ну то что он заражен, это уже не новость. Знать бы что ОНО делает, наверно можно было бы на основе этого понять как оно заливается(хотя может это бред). Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 (изменено) опять тот же взлом у меня, удалил .htaccess. жесть. Все обращения с ip с которого были обращения к этому файлу 151.0.0.183 - - [05/Jan/2013:22:18:06 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 451 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11" 151.0.0.183 - - [05/Jan/2013:22:18:06 +0100] "GET /favicon.ico HTTP/1.0" 200 1217 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11" 151.0.0.183 - - [05/Jan/2013:22:18:09 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 393 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11" 151.0.0.183 - - [05/Jan/2013:22:18:11 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 393 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11" Изменено 5 января 2013 пользователем silva Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.