Заливают вредоностный код

[slon9911 0]

Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления

Сколько бы вы не ставили права эта гадость будет их сбрасывать :

if ($proverka === false) {

chmod($nameFiles,0666);

$NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess;

$fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp);

} else {chmod($nameFiles,0444);}

Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте.

Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял.

Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял...

Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке.

[Яндекс 1]

Вы все умничаете и даете советы поставить права на файл и так далее ..Хотя сами структуры шелла не знаете вот вам для общего ознакомления

Сколько бы вы не ставили права эта гадость будет их сбрасывать :

if ($proverka === false) {

chmod($nameFiles,0666);

$NewHtaccess = $MainHtaccess. "rn" .$StarHtaccess;

$fp = fopen($nameFiles, "w");fwrite($fp, $NewHtaccess);fclose($fp);

} else {chmod($nameFiles,0444);}

Может вам самим стоит изучить мат часть? С каких пор chmod() можно применять, если файл принадлежит другому владельцу? На "криво" настроенных хостингах и серверах, да такое возможно. О чем уже написано огромное количество раз. По вашему для чего придумано разделение прав, если их можно было бы менять кому угодно при помощи обычной функции chmod. Из всех PHP и .htaccess права на запись должны иметь только файлы ./engine/data/config.php и ./engine/data/dbconfig.php. У всех кому изменили другие файлы php или .htaccess априори имеют неправильные настройки сервера, где безопасность на последнем месте.

Поэтому помимо патчей, безопасной и правильной настройки сервера еще никто не отменял.

Да-да я с вами полностью согласен... Но все же факт остается фактом. Довольно часто не опытные вебмастера ставят DLE на не настроенные сервера и всплывают вот такие вот шеллы и т.д Так что теорию с настройками сервера и ( не качественным хостингом ) не кто не отменял...

Причем тут не опытные мастера? Проблема не мало у кого, вывод о чем ? Значит нашли дырочку в движке.

Вы вчитайтесь в наш разговор с celsoftom речь была о настройках сервера( и в этот момент было мной использована фраза " не опытные мастера") на счет бага не кто и не отрицает что дыра есть.

Изменено 17 января 2013 пользователем Яндекс

[goga5 1]

А если закрыть доступ по IP? только с одного IP. Зальют?

У меня так и было + еще и на ssh тоже вход с одного IP и всеравно взломали, мало того, еще мне код залили на 2 сайта и у обеих разные ip, кроме этого, скрипты этих сайтов куплены отсюда а нул скрипт третьего сайта который имел сайт один из этих ip-ов был нетронутым , вот такие чудеса, возможно это инфа в чемто поможет вам выявить причину но, после применения последнего патча у меня пока что всё тихо...

[predator-hoi 0]

Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить...

И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел.

[prikindel 255]

Можно ли на файл download.php выставить права 444? а то уже за..бался его чистить...

а почему нет? можно.

И еще есть ли какой то антивирус для ДЛЕ? Зеос я так понял уже устарел.

его актуальность ровно такая же, как на момент создания

[android-ok 0]

делали эксперимент на трех сайтах вредоносный код в download.php удаляли код ставили права 444 и на утро два с трех опять с вредоносным кодом только у одного права 400 а у второго 666))

[prikindel 255]

android-ok,так понту менять права, если шелл их меняет как хочет?

[ower_xz 116]

Кстати, наткнулся тут на серче на ссылку на скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге, как пишут... Может кому пригодится (сам не пробовал)... Отзывы неплохие...

http://revisium.com/ai/

Скрипт AI-Bolit умеет делать следующее:

• искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики
  
• искать редиректы в .htaccess на вредоносные сайты
  
• искать код sape/trustlink/linkfeed в .php файлах
  
• определять дорвеи
  
• показывать директории, открытые на запись
  
• искать пустые ссылки (невидимые ссылки) в шаблонах
  
• отсылать отчет по email или сохранять в файл
  

[android-ok 0]

стоит этот AI-Bolit он эту гадость не видит вообще

Изменено 18 января 2013 пользователем android-ok

[ower_xz 116]

стоит этот AI-Bolit он эту гадость не видит вообще

Последнюю версию не пробовали? Как автор пишет:

Последнее обновление: 20/12/2012

Изменения в версии:

(теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)

- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)

- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)

- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)

- много новых и свежих сигнатур шеллов, вирусов и дорвеев

- исправлена ошибка поиска невидимых ссылок

- отображение в отчете найденных символических ссылок

- отображение в консоли статистики по найденным проблемам

[android-ok 0]

стоит самая последняя

[Captain 612]

Тема, плавно перешла во флуд уже давно, но никто не пытается обратиться в ТП официально или не обращает внимание на то, что если не справляетесь сами, то:

...Обращайтесь в тех. поддержку http://dle-news.ru/i...php?do=feedback предоставляйте доступы по FTP и к админпанели скрипта, ваш сайт будет осмотрен и даны соответствующие рекомендации...

С крещением всех, православные.

[Simur_m 12]

стоит этот AI-Bolit он эту гадость не видит вообще

А помогите пожалуйста с этими пунктами:

3. подключиться к серверу по ssh, перейти в папку сайта

4. выполнить команду в командной строке

php ai-bolit.php

Как это сделать?

[WWW.ZEOS.IN 1 161]

3. подключиться к серверу по ssh, перейти в папку сайта

Какой операционной системой Вы пользуетесь?

[prikindel 255]

Captain,

ну лично я пока что жду новой интрузии пока все тихо, если что случится, буду писать в ТП

[olegarter 0]

У меня без последнего патча (от 6го янв.) было "поражено" только 2 файла config и dbconfig этой шляпой (называйте это как хотите), только в этих файлах были изменения 13 янв (в этом году). Все остальное, чисто!

Вообще рекомендую убрать права на запись на содержимое папки templates и на config.php тем кто редко вносит изменения через Двиг.

Я выставил права на запись для config.php принудительно, проверить свою теорию на излечение (до заразы так же было отрыто)!

[goga5 1]

стоит самая последняя

Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры!

Встроенный антивирус в DLE тоже не плох но он имеет один большой минус, минус в том, что хакеры знают где храниться файл антивируса в движке и по этой причине они смогут залить вирус или шелл и после этого сами смогут сделать снимок файлов и после чего вы уже не узнаете который файл изменен на сервере, а на zeos можно изменить имя файла и спрятать его куда угодно и хакер его не станет искать.

[olegarter 0]

стоит самая последняя

Поставьте zeos и не парьтесь, устаревшая она или нет она помогает! При помощи ее я обнаружил какие файлы изменены и тут же принял меры и после этого у меня всё тихо, а некоторые которые тут пишут, что чистят файлы, вставляют патчи, меняют пароли и НЕПОМОГАЕТ, то при помощи zeos без труда можно было бы вычислить в залитый файл шелл или подобное и после без проблем приняли бы меры!

Если тебе помогло не значит поможет всем, на многих форумах отписываются про бесполезность zeoz, через WinSCP тоже можно увидеть изменения.Надо искать дырку и латать, а не убивать комаров которые проникают через эту дырку. Судя потому, что описано на Сирче можно сделать вывод: проблема кроется не только в DLE, но и в настройках сервера => Судя по всему у многих на сервере все "открыто" (chmod) так же как по-умолчанию на Денвере в локале, от туда и в index.php, init.php, admin.php, function.php, .htaccess и тд. попала эта шляпа!

Изменено 18 января 2013 пользователем olegarter

[goga5 1]

через WinSCP тоже можно увидеть изменения.

А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера!

По поводу zeoz, я без него как без рук и глаз, остальное Вам решать что вам делать.

[Crashlabs 49]

Сайт также подвергся взлому. Патч последний стоял, безопасность сервера была на приличном уровне.

Вот, что засекли логи:

[17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-"

[17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Изменено 18 января 2013 пользователем Crashlabs

[predator-hoi 0]

А вот антивирусы будут ругаться на эти зараженные картинки?

[olegarter 0]

А что, Вы еще вводите пароли от сервера во всякие программы ? после того, как касперский и доктор веб мне говорили что вирусов на компьютере нет и после этого мне всёравно пару раз взламывали сервер путем кражи пороли с компьютера то, я перестал доверять всех этих программ и уже как 3 года не ввожу пароли ни в одну прогу! даже если поработаю с "putty" то после работы тутже меняю пароль сервера!

))) Чушь сказал (без обид). То что ты описал - индивидуально (ИМХО), я про трояны и черви на ПК! Как относишься к безопасности так оно и к тебе.

Лично у меня у моих друзей в Москве в датацентре никто пароли не воровал вот так просто, особенно из прочих FTP и SSH клиентов, асек и тд. Др.Веб с дулся давно (еще в начале 2k) вот тебе и не везет, за каспера не знаю, все 50-50 иможно зверя поставитьвручную т.к. оно спрашивает Да/Нет при запуске exeшников

За Putty ты чот загнул - это уже фобия! У кого то гуд, у кого то ж0па... если ж0па то нужно делать выводы.

[Simur_m 12]

3. подключиться к серверу по ssh, перейти в папку сайта

Какой операционной системой Вы пользуетесь?

W7

[asmakovec22 3]

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

[WWW.ZEOS.IN 1 161]

3. подключиться к серверу по ssh, перейти в папку сайта 4. выполнить команду в командной строке php ai-bolit.php

Тогда через putty заходите на сервер по SSH и запускайте скрипт так: /путь_к/php -f /путь_к/file.php

http://php.net/manual/ru/features.commandline.php

Изменено 18 января 2013 пользователем ZEOS.IN