Перейти к публикации

Рекомендованные сообщения

Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления

Сколько бы вы не ставили права эта гадость будет их сбрасывать :

if ($proverka === false) {

chmod($nameFiles,0666);

$NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess;

$fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp);

} else {chmod($nameFiles,0444);}

Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте.

Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял.

Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял...

Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке.

Ссылка на сообщение
Поделиться на других сайтах

Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления

Сколько бы вы не ставили права эта гадость будет их сбрасывать :

if ($proverka === false) {

chmod($nameFiles,0666);

$NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess;

$fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp);

} else {chmod($nameFiles,0444);}

Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте.

Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял.

Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял...

Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке.

Вы вчитайтесь в наш разговор с celsoftom речь была о настройках сервера( и в этот момент было мной использована фраза " не опытные мастера") на счет бага не кто и не отрицает что дыра есть.

Изменено пользователем Яндекс
Ссылка на сообщение
Поделиться на других сайтах

А если закрыть доступ по IP? только с одного IP. Зальют?

У меня так и было + еще и на ssh тоже вход с одного IP и всеравно взломали, мало того, еще мне код залили на 2 сайта и у обеих разные ip, кроме этого, скрипты этих сайтов куплены отсюда а нул скрипт третьего сайта который имел сайт один из этих ip-ов был нетронутым :wacko: , вот такие чудеса, возможно это инфа в чемто поможет вам выявить причину но, после применения последнего патча у меня пока что всё тихо...

Ссылка на сообщение
Поделиться на других сайтах

Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить...

И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел.

Ссылка на сообщение
Поделиться на других сайтах

Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить...

а почему нет? можно.

И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел.

его актуальность ровно такая же, как на момент создания

Ссылка на сообщение
Поделиться на других сайтах

делали эксперимент на трех сайтах вредоносный код в download.php удаляли код ставили права 444 и на утро два с трех опять с вредоносным кодом только у одного права 400 а у второго 666))

Ссылка на сообщение
Поделиться на других сайтах

Кстати, наткнулся тут на серче на ссылку на скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге, как пишут... Может кому пригодится (сам не пробовал)... Отзывы неплохие...

http://revisium.com/ai/

Скрипт AI-Bolit умеет делать следующее:

  • искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики
  • искать редиректы в .htaccess на вредоносные сайты
  • искать код sape/trustlink/linkfeed в .php файлах
  • определять дорвеи
  • показывать директории, открытые на запись
  • искать пустые ссылки (невидимые ссылки) в шаблонах
  • отсылать отчет по email или сохранять в файл

Ссылка на сообщение
Поделиться на других сайтах

стоит этот AI-Bolit он эту гадость не видит вообще

Последнюю версию не пробовали? Как автор пишет:

Последнее обновление: 20/12/2012

Изменения в версии:

(теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)

- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)

- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)

- много новых и свежих сигнатур шеллов, вирусов и дорвеев

- исправлена ошибка поиска невидимых ссылок

- отображение в отчете найденных символических ссылок

- отображение в консоли статистики по найденным проблемам

Ссылка на сообщение
Поделиться на других сайтах

Тема, плавно перешла во флуд уже давно, но никто не пытается обратиться в ТП официально или не обращает внимание на то, что если не справляетесь сами, то:

...Обращайтесь в тех. поддержку http://dle-news.ru/i...php?do=feedback предоставляйте доступы по FTP и к админпанели скрипта, ваш сайт будет осмотрен и даны соответствующие рекомендации...

С крещением всех, православные. :)

Ссылка на сообщение
Поделиться на других сайтах

стоит этот AI-Bolit он эту гадость не видит вообще

А помогите пожалуйста с этими пунктами:

3. подключиться к серверу по ssh, перейти в папку сайта

4. выполнить команду в командной строке

php ai-bolit.php

Как это сделать?

Ссылка на сообщение
Поделиться на других сайтах

3. подключиться к серверу по ssh, перейти в папку сайта

Какой операционной системой Вы пользуетесь?

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

Captain,

ну лично я пока что жду новой интрузии ;) пока все тихо, если что случится, буду писать в ТП

Ссылка на сообщение
Поделиться на других сайтах

У меня без последнего патча (от 6го янв.) было "поражено" только 2 файла config и dbconfig этой шляпой (называйте это как хотите), только в этих файлах были изменения 13 янв (в этом году). Все остальное, чисто!

Вообще рекомендую убрать права на запись на содержимое папки templates и на config.php тем кто редко вносит изменения через Двиг.

Я выставил права на запись для config.php принудительно, проверить свою теорию на излечение (до заразы так же было отрыто)!

Ссылка на сообщение
Поделиться на других сайтах

стоит самая последняя

Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры!

Встроенный антивирус в DLE тоже не плох но он имеет один большой минус, минус в том, что хакеры знают где храниться файл антивируса в движке и по этой причине они смогут залить вирус или шелл и после этого сами смогут сделать снимок файлов и после чего вы уже не узнаете который файл изменен на сервере, а на zeos можно изменить имя файла и спрятать его куда угодно и хакер его не станет искать.

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

стоит самая последняя

Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры!

Если тебе помогло не значит поможет всем, на многих форумах отписываются про бесполезность zeoz, через WinSCP тоже можно увидеть изменения.Надо искать дырку и латать, а не убивать комаров которые проникают через эту дырку. Судя потому, что описано на Сирче можно сделать вывод: проблема кроется не только в DLE, но и в настройках сервера => Судя по всему у многих на сервере все "открыто" (chmod) так же как по-умолчанию на Денвере в локале, от туда и в index.php, init.php, admin.php, function.php, .htaccess и тд. попала эта шляпа!

Изменено пользователем olegarter
Ссылка на сообщение
Поделиться на других сайтах

через WinSCP тоже можно увидеть изменения.

А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера!

По поводу zeoz, я без него как без рук и глаз, остальное Вам решать что вам делать.

Ссылка на сообщение
Поделиться на других сайтах

Сайт также подвергся взлому. Патч последний стоял, безопасность сервера была на приличном уровне.

Вот, что засекли логи:


[17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-"

[17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Изменено пользователем Crashlabs
Ссылка на сообщение
Поделиться на других сайтах

А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера!

))) Чушь сказал (без обид). То что ты описал - индивидуально (ИМХО), я про трояны и черви на ПК! Как относишься к безопасности так оно и к тебе.

Лично у меня у моих друзей в Москве в датацентре никто пароли не воровал вот так просто, особенно из прочих FTP и SSH клиентов, асек и тд. Др.Веб с дулся давно (еще в начале 2k) вот тебе и не везет, за каспера не знаю, все 50-50 иможно зверя поставитьвручную т.к. оно спрашивает Да/Нет при запуске exeшников

За Putty ты чот загнул - это уже фобия! У кого то гуд, у кого то ж0па... если ж0па то нужно делать выводы.

Ссылка на сообщение
Поделиться на других сайтах

3. подключиться к серверу по ssh, перейти в папку сайта 4. выполнить команду в командной строке php ai-bolit.php

Тогда через putty заходите на сервер по SSH и запускайте скрипт так: /путь_к/php -f /путь_к/file.php

http://php.net/manual/ru/features.commandline.php

Изменено пользователем ZEOS.IN
  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...