Перейти к публикации

Рекомендованные сообщения

Я рекомендую всем у кого были проблемы, всегда обращаться в тех. поддержку, предоставлять доступы по FTP и к админпанели скрипта, для анализа сайта. Когда у вас один раз побывал шелл на сервере, с помощью него мог быть оставлен бекдор, в файлах скрипта и если все корректно не зачистить то все уже может повториться через оставленные бекдоры. Поэтому лучше обратиться в поддержку, ваш сервер будет проанализирован, файлы проверены, и даны необходимые рекомендации применительно к вашему сайту.

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

о, спасибо!

Отпишитесь потом, что Вам саппорт посоветует. Закидывать одинаковыми обращениями пока не хочется, может есть что-то общее у нас, где-то прав многовато или вроде того :) А вообще, бекдоры конечно опасны, но я больше думаю о том, как туда изначально проник шелл, если проник раз, проникнет и два, даже если бекдор удалить, Сначала то бекдора небыло, его туда как-то засунули и точно не через FTP, значит есть обход...

Изменено пользователем Volfgang
Ссылка на сообщение
Поделиться на других сайтах

у меня также юзер есть wnet с мылом superwnet@ya.ru

Если учесть что юзер wnet с мылом superwnet@ya.ru создавался на взломанных сайтах, можно предположить, что заливка шела все таки связана с регистрацией и наличием юзера в движке бд dle. Если бы уязвимость не была связана с dle, а, например была в серверном по, то и юзера не надо было бы создавать. Так как юзер создан, логично предположить что есть дыра в самом движке.

Ссылка на сообщение
Поделиться на других сайтах

у меня также юзер есть wnet с мылом superwnet@ya.ru

Если учесть что юзер wnet с мылом superwnet@ya.ru создавался на взломанных сайтах, можно предположить, что заливка шела все таки связана с регистрацией и наличием юзера в движке бд dle. Если бы уязвимость не была связана с dle, а, например была в серверном по, то и юзера не надо было бы создавать. Так как юзер создан, логично предположить что есть дыра в самом движке.

Полностью с Вами согласен. Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему. У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта. Есть вырезка из логов, где видно, что юзер регнулся и через 28 минут уже сидел через шелл. Вряд ли тут дело в PHPmyADMIN или другом ПО. Да и взломов на форумах других движков нет, если бы дырка была в ПО - пострадали бы админы сайтов на WP или Joomla, но на их форумах ничего нет, я сегодня опять проверял, а на DLE проблема обсуждается активно на многих форумах. Пора искать дырку....

Ссылка на сообщение
Поделиться на других сайтах

Volfgang,

у меня пока что тихо, я просто обрадовался, что с помощью Владимира можно будет напрямую посмотреть ситуацию на сервере,

как что то случится, буду сообщать.

Ссылка на сообщение
Поделиться на других сайтах

Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему.

Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем.

У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта.

Вряд ли тут дело в PHPmyADMIN или другом ПО.

Т.к. вы не написали какой сайт у вас в взломали, я посмотрел на сайте за какими сайтами у вас лицензии числятся и отправил вам персональным сообщением адреса по которому у стоит уязвимое ПО в открытом виде и без каких либо патчей безопасности. Я незнаю но видимо вы думаете что никто кроме вас не знает структуру панели управления ISP, которая стоит у вас на сайтах? По непонятным причинам вы даже не соизволили предпринять меры которые уже неоднократно были написаны в этой теме. И таких не три человека, таких сотни и уже на протяжении года, и все одно и тоже.

Ссылка на сообщение
Поделиться на других сайтах

Забыл упомянуть о том, что загрузка файлов пользователями на сервер была запрещена. Есть предположение, что шелл заливался через загрузку аватары.

И так как из-за моей халатности с правами на папки и файлы, мне 2 года назад уже загружали шелл, то все последние патчи и рекомендации по защите выполнялись своевременно.

Ссылка на сообщение
Поделиться на других сайтах

Хорошо бы, если бы разработчики серьезно обратили внимание на это и как можно быстрее нашли проблему.

Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем.

У нас есть как минимум 3 человека с созданным юзером и следующим за ним взломом, у юзера одинаковое имя и почта.

Вряд ли тут дело в PHPmyADMIN или другом ПО.

Т.к. вы не написали какой сайт у вас в взломали, я посмотрел на сайте за какими сайтами у вас лицензии числятся и отправил вам персональным сообщением адреса по которому у стоит уязвимое ПО в открытом виде и без каких либо патчей безопасности. Я незнаю но видимо вы думаете что никто кроме вас не знает структуру панели управления ISP, которая стоит у вас на сайтах? По непонятным причинам вы даже не соизволили предпринять меры которые уже неоднократно были написаны в этой теме. И таких не три человека, таких сотни и уже на протяжении года, и все одно и тоже.

Хорошо, пусть в DLE нет проблем, я спорить не буду, я далеко не так опытен как Вы. Просто смущает тот факт, что взломщик регистрируется перед взломом, следовательно ему нужен юзер на DLE, а это наводит на мысли. Однако, я могу ошибаться, как я уже сказал, я не опытен, поэтому и написал сюда.

В приват получил сообщение, сегодня все исправлю, в любом случае это нужно исправить. Спасибо.

Ссылка на сообщение
Поделиться на других сайтах

Просто смущает тот факт, что взломщик регистрируется перед взломом, следовательно ему нужен юзер на DLE, а это наводит на мысли.

а зачем ему отсвечивать источник проблемы? Когда администратору можно продемонстрировать ложную активность. Либо производится предварительная модификация файлов скрипта, потом уже обращаются к скрипту и через его модифицированные файлы проводятся действия.

Забыл упомянуть о том, что загрузка файлов пользователями на сервер была запрещена. Есть предположение, что шелл заливался через загрузку аватары.

Это невозможно, если не модифицировать файлы скрипта. При загрузке аватара не используется имя файла, оно всегда меняется на стандартное foto_x.jpg и имя после загрузки никак не может стать выполняемым PHP файлом, причем обязательно это должна быть картинка, потому как она на сервер проходит только через библиотеку GD, она не сможет работать, если файл не картинка. Плюс обязательная проверка расширений файла, и картинка не выполняется как PHP скрипт сервером.

Вот смотрите вы писали что у вас модифицирован был engine/data/dbconfig.php, напрямую к этому файлу не обратиться, но этот файл содержит данные подключения к БД, и соответственно он подключается скриптом, и для того чтобы запустить код который у вас был в модифицированном файле достаточно просто обратиться к index.php а не к engine/data/dbconfig.php и зловредный код из engine/data/dbconfig.php будет выполнен. Именно поэтому опасна модификация скриптов DLE, потому как все файлы скрипта взаимосвязаны. Поэтому вам нужно смотреть не регистрацию и загрузку аватаров, а источник модификации engine/data/dbconfig.php. А вы мыслите слишком просто, если увидели в логах регистрацию, то значит тут же нужно искать баг в регистрации. Это не так и не все так просто как может показаться на первый взгляд.

Ссылка на сообщение
Поделиться на других сайтах

)) Перечитал, все от начала до конца, раза 3, и по ссылкам почитал, все что касается замечаний по серверу или хостингу для меня сложно, я больше по графике. Собрав волю в кулак, полез шерстить содержимое сайта. Нашел: строчку партнерки в конфиге, левый PHP файл в папке uploads/posts (содержимое зашифровано), ну и в шаблоне смартфон посторонний скрипт, это вычитал по одной из ссылок выше, ну изменены права на файлах и пропали некоторые хатачес. Сайт, alami.ru, у соседних сайтов тоже беда с хатачес и правами, но других изменений не обнаружил - пака по крайней мере

Еще писал в другой ветке, все файлы TPL стили в одну строчку, я пытался править, через время снова изменяются в одну строчку.

Изменено пользователем komnervov
Ссылка на сообщение
Поделиться на других сайтах

Выручите пожалуйста, до чистился теперь на сайте не грузится графика, хоть подскажите в каком направлении смотреть. Голову уже сломал. alami.ru

Ссылка на сообщение
Поделиться на других сайтах
Выручите пожалуйста, до чистился теперь на сайте не грузится графика, хоть подскажите в каком направлении смотреть. Голову уже сломал. alami.ru
Проверяйте права на папки с картинками, проверяйте правильность .htaccess, а лучше просто всстановить из чистого дистриба
Ссылка на сообщение
Поделиться на других сайтах

А что за ето чудо на моём сайте за ковырялось Wa.KBL и антивирусы сайт блокируют как вредоносный , уже неделю рою и никак не нарою , вплоть был полностю обновлён двиг но именений не произошло, базу перековырял и нет , возможно у кого был такой

Ссылка на сообщение
Поделиться на других сайтах

fornex, только сюда: http://dle-news.ru/index.php?do=feedback

на мыло skarbnichka2011@gmail.com или ещё лутче в асю постучите 619243-нуль-три-пять

Вы то тут причём? Вы и есть паблик

Ссылка на сообщение
Поделиться на других сайтах

досвидос скажеш своей маме или ты самый рыжий, тут дырку искать надо а не понты свои гонять, если клиент двига так и всё

Ссылка на сообщение
Поделиться на других сайтах

bonopard,

включи мозг, лол :) впрочем я не имею права требовать невозможного :)

Ссылка на сообщение
Поделиться на других сайтах

Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess

вот в принципе сам файл на который жаловался антивирус дле http://depositfiles.com/files/sueiqfmrk

посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится

Изменено пользователем eqoist
Ссылка на сообщение
Поделиться на других сайтах

Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess вот в принципе сам файл на который жаловался антивирус дле http://depositfiles....files/sueiqfmrk посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится

Чего там понимать-то...

Kaspersky Internet Security 2013

Запрашиваемый URL-адрес не может быть предоставлен

В запрашиваемом объекте по URL-адресу:

http://fileshare5010.depositfiles.com/

auth-13574168929014d33a16f693362aaef8-95.

158.196.106-922230298-136315760-guest/

fs501-7/minify_466d076dc89ad73bd801f74fa

1a6617a.php

Обнаружена угроза:

объект заражен Backdoor.PHP.PhpShell.ct

Изменено пользователем ower_xz
Ссылка на сообщение
Поделиться на других сайтах

Тот же юзер и у меня на сайте, сегодня заходил и сегодня опять пропали файлы .htaccess вот в принципе сам файл на который жаловался антивирус дле http://depositfiles....files/sueiqfmrk посмотрите что оно выполняет, хоть поймем для чего оно к нам грузится

Чего там понимать-то...

Kaspersky Internet Security 2013

Запрашиваемый URL-адрес не может быть предоставлен

В запрашиваемом объекте по URL-адресу:

http://fileshare5010.depositfiles.com/

auth-13574168929014d33a16f693362aaef8-95.

158.196.106-922230298-136315760-guest/

fs501-7/minify_466d076dc89ad73bd801f74fa

1a6617a.php

Обнаружена угроза:

объект заражен Backdoor.PHP.PhpShell.ct

Ну то что он заражен, это уже не новость. Знать бы что ОНО делает, наверно можно было бы на основе этого понять как оно заливается(хотя может это бред).

Ссылка на сообщение
Поделиться на других сайтах

опять тот же взлом у меня, удалил .htaccess.

жесть.

Все обращения с ip с которого были обращения к этому файлу

151.0.0.183 - - [05/Jan/2013:22:18:06 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 451 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

151.0.0.183 - - [05/Jan/2013:22:18:06 +0100] "GET /favicon.ico HTTP/1.0" 200 1217 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

151.0.0.183 - - [05/Jan/2013:22:18:09 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 393 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

151.0.0.183 - - [05/Jan/2013:22:18:11 +0100] "GET /engine/cache/system/minify_214d4226c165296bf33b722327a18252.php HTTP/1.0" 200 393 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

Изменено пользователем silva
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...