slon9911 0 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления Сколько бы вы не ставили права эта гадость будет их сбрасывать : if ($proverka === false) { chmod($nameFiles,0666); $NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess; $fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp); } else {chmod($nameFiles,0444);} Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте. Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял. Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял... Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке. Ссылка на сообщение Поделиться на других сайтах
Яндекс 1 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 (изменено) Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления Сколько бы вы не ставили права эта гадость будет их сбрасывать : if ($proverka === false) { chmod($nameFiles,0666); $NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess; $fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp); } else {chmod($nameFiles,0444);} Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте. Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял. Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял... Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке. Вы вчитайтесь в наш разговор с celsoftom речь была о настройках сервера( и в этот момент было мной использована фраза " не опытные мастера") на счет бага не кто и не отрицает что дыра есть. Изменено 17 января 2013 пользователем Яндекс Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 А если закрыть доступ по IP? только с одного IP. Зальют? У меня так и было + еще и на ssh тоже вход с одного IP и всеравно взломали, мало того, еще мне код залили на 2 сайта и у обеих разные ip, кроме этого, скрипты этих сайтов куплены отсюда а нул скрипт третьего сайта который имел сайт один из этих ip-ов был нетронутым , вот такие чудеса, возможно это инфа в чемто поможет вам выявить причину но, после применения последнего патча у меня пока что всё тихо... Ссылка на сообщение Поделиться на других сайтах
predator-hoi 0 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить... И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел. Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить... а почему нет? можно. И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел. его актуальность ровно такая же, как на момент создания Ссылка на сообщение Поделиться на других сайтах
android-ok 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 делали эксперимент на трех сайтах вредоносный код в download.php удаляли код ставили права 444 и на утро два с трех опять с вредоносным кодом только у одного права 400 а у второго 666)) Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 android-ok,так понту менять права, если шелл их меняет как хочет? Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 Кстати, наткнулся тут на серче на ссылку на скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге, как пишут... Может кому пригодится (сам не пробовал)... Отзывы неплохие... http://revisium.com/ai/ Скрипт AI-Bolit умеет делать следующее:искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристикиискать редиректы в .htaccess на вредоносные сайтыискать код sape/trustlink/linkfeed в .php файлахопределять дорвеипоказывать директории, открытые на записьискать пустые ссылки (невидимые ссылки) в шаблонахотсылать отчет по email или сохранять в файл Ссылка на сообщение Поделиться на других сайтах
android-ok 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 (изменено) стоит этот AI-Bolit он эту гадость не видит вообще Изменено 18 января 2013 пользователем android-ok Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 стоит этот AI-Bolit он эту гадость не видит вообще Последнюю версию не пробовали? Как автор пишет: Последнее обновление: 20/12/2012 Изменения в версии: (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний) - полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях) - добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore) - добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета) - много новых и свежих сигнатур шеллов, вирусов и дорвеев - исправлена ошибка поиска невидимых ссылок - отображение в отчете найденных символических ссылок - отображение в консоли статистики по найденным проблемам Ссылка на сообщение Поделиться на других сайтах
android-ok 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 стоит самая последняя Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 Тема, плавно перешла во флуд уже давно, но никто не пытается обратиться в ТП официально или не обращает внимание на то, что если не справляетесь сами, то: ...Обращайтесь в тех. поддержку http://dle-news.ru/i...php?do=feedback предоставляйте доступы по FTP и к админпанели скрипта, ваш сайт будет осмотрен и даны соответствующие рекомендации... С крещением всех, православные. Ссылка на сообщение Поделиться на других сайтах
Simur_m 12 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 стоит этот AI-Bolit он эту гадость не видит вообще А помогите пожалуйста с этими пунктами: 3. подключиться к серверу по ssh, перейти в папку сайта 4. выполнить команду в командной строке php ai-bolit.php Как это сделать? Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 3. подключиться к серверу по ssh, перейти в папку сайта Какой операционной системой Вы пользуетесь? 1 Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 Captain, ну лично я пока что жду новой интрузии пока все тихо, если что случится, буду писать в ТП Ссылка на сообщение Поделиться на других сайтах
olegarter 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 У меня без последнего патча (от 6го янв.) было "поражено" только 2 файла config и dbconfig этой шляпой (называйте это как хотите), только в этих файлах были изменения 13 янв (в этом году). Все остальное, чисто! Вообще рекомендую убрать права на запись на содержимое папки templates и на config.php тем кто редко вносит изменения через Двиг. Я выставил права на запись для config.php принудительно, проверить свою теорию на излечение (до заразы так же было отрыто)! Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 стоит самая последняя Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры! Встроенный антивирус в DLE тоже не плох но он имеет один большой минус, минус в том, что хакеры знают где храниться файл антивируса в движке и по этой причине они смогут залить вирус или шелл и после этого сами смогут сделать снимок файлов и после чего вы уже не узнаете который файл изменен на сервере, а на zeos можно изменить имя файла и спрятать его куда угодно и хакер его не станет искать. 1 Ссылка на сообщение Поделиться на других сайтах
olegarter 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 (изменено) стоит самая последняя Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры! Если тебе помогло не значит поможет всем, на многих форумах отписываются про бесполезность zeoz, через WinSCP тоже можно увидеть изменения.Надо искать дырку и латать, а не убивать комаров которые проникают через эту дырку. Судя потому, что описано на Сирче можно сделать вывод: проблема кроется не только в DLE, но и в настройках сервера => Судя по всему у многих на сервере все "открыто" (chmod) так же как по-умолчанию на Денвере в локале, от туда и в index.php, init.php, admin.php, function.php, .htaccess и тд. попала эта шляпа! Изменено 18 января 2013 пользователем olegarter Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 через WinSCP тоже можно увидеть изменения. А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера! По поводу zeoz, я без него как без рук и глаз, остальное Вам решать что вам делать. Ссылка на сообщение Поделиться на других сайтах
Crashlabs 67 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 (изменено) Сайт также подвергся взлому. Патч последний стоял, безопасность сервера была на приличном уровне. Вот, что засекли логи: [17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-" [17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-" Изменено 18 января 2013 пользователем Crashlabs Ссылка на сообщение Поделиться на других сайтах
predator-hoi 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 А вот антивирусы будут ругаться на эти зараженные картинки? Ссылка на сообщение Поделиться на других сайтах
olegarter 0 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера! ))) Чушь сказал (без обид). То что ты описал - индивидуально (ИМХО), я про трояны и черви на ПК! Как относишься к безопасности так оно и к тебе. Лично у меня у моих друзей в Москве в датацентре никто пароли не воровал вот так просто, особенно из прочих FTP и SSH клиентов, асек и тд. Др.Веб с дулся давно (еще в начале 2k) вот тебе и не везет, за каспера не знаю, все 50-50 иможно зверя поставитьвручную т.к. оно спрашивает Да/Нет при запуске exeшников За Putty ты чот загнул - это уже фобия! У кого то гуд, у кого то ж0па... если ж0па то нужно делать выводы. Ссылка на сообщение Поделиться на других сайтах
Simur_m 12 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 3. подключиться к серверу по ssh, перейти в папку сайта Какой операционной системой Вы пользуетесь? W7 Ссылка на сообщение Поделиться на других сайтах
asmakovec22 3 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 Те кого взломали ищите среди своих зарегистрированных юзоров вот этого. 1 Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 18 января 2013 Рассказать Опубликовано: 18 января 2013 (изменено) 3. подключиться к серверу по ssh, перейти в папку сайта 4. выполнить команду в командной строке php ai-bolit.php Тогда через putty заходите на сервер по SSH и запускайте скрипт так: /путь_к/php -f /путь_к/file.php http://php.net/manual/ru/features.commandline.php Изменено 18 января 2013 пользователем ZEOS.IN 1 Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения