Заливают вредоностный код

[goga5 1]

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Есть такой, что с ним делать, банить по ip ? он и есть виновник ?

[dakk 11]

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

У меня кстати 8-го тоже зарегистрировался этот черт. ip был 151.0.2.63

[Simur_m 12]

Это у меня вирусы????

[olegarter 0]

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Оппа, красавчег... я его тож обнаружил! у меня 5го зареган

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Дак и я тебе о том же не о ПО а червях, что проблему решай с антивирусами с браузерами... клиенты и то что вытаскивается из них не причем = решать вопросы надо с системой безопасности

[sazan19661 0]

У меня тоже такой... 8 числа регистрация. Бан по IP

ip 151.0.7.30

[Natalie 0]

+1

IP: 151.0.7.30 Публикаций: 0 Дата посещения: 12 января 2013 - 02:44 Дата регистрации: 9 января 2013 - 01:24 E-mail:tehapocalypse@ya.ru

[Drims 2]

Есть такой пользователь, но толку его банить? Захочет зайдёт с другого IP и перерегистрируется(.

Сегодня узнала, что сайт блочит Каспер, патчи поставлены вовремя. Пересмотрела файлы выше описанные, ничего не нашла. Ответ от Касперского ещё не пришёл.

[rustem1 0]

скажите пож. если в php.ini добавить фкнкции chmod и exec и shell_exec к списку аргументов дорективы disable_functions. повиляет ли это на работу движка??? Как я понимаю она защищтит от изменения прав на папку и файлы???

[olegarter 0]

Это понятно что бан ip это не выход из ситуации. Понятно что зареганный чувак получил доступ, через движок к файлам с установленными правами на запись (666), у кого то и к папкам (777)

[bong 1]

тоже ломали, но этого пользователя с таким ip не обнаружен

[Slavchik.ru 17]

Тут... похоже на спамера.

[celsoft 6230]

Сайт также подвергся взлому.

Патч последний стоял, безопасность сервера была на приличном уровне.

Вот, что засекли логи: [17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-"[17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Если это привело к проблемам, то эти логи очевидно указывают на отсутствие патча http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html на сервере. Если на сайте установлено несколько сайтов, то проверять нужно все сайты.

[celsoft 6230]

Итак тема перешла уже по большей части во флуд, поэтому я ее закрываю.

Подведу общие итоги.

Сегодня был выпущен обновленный патч безопасности http://dle-news.ru/b...-versii-97.html который включает в себя выпущенные ранее патчи безопасности, но он является более полным и добавляет в себя некоторые дополнительные функции.

Патч предназначен только для версии 9.7. Пользователи которые используют другие версии скрипта должны ставить патчи которые вышли ранее для их версий http://dle-news.ru/bags/

Если ваш сайт подвергся взлому после установки патчей безопасности, то видимо на сервере присутствует шелл. Для его удаления необходимо предпринять следующие действия:

1. Восстановите все файлы на сервере на оригинальные из архива дистрибутива.

2. Установите все патчи безопасности повторно после этого http://dle-news.ru/bags/

3. В админпанели запустите антивирус и удалите все на что он укажет.

4. Проверьте файлы в папке engine/data/ на наличие посторонних кодов.

5. Удалите все посторонние модули и скрипты с сервера если таковые имеются

6. Смените все пароли в том числе к БД и по FTP.

7. Обновите серверное ПО на вашем сервере, в первую очередь обратите внимание на phpMyAdmin, обновлять его нужно обязательно.

Если на сервере установлено несколько сайтов, то данные действия нужно провести для всех сайтов на аккаунте.

Возможно также были украдены доступы к серверу. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-new...ndpost&p=175979

http://forum.dle-new...32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP.

Если вы приняли все описанные выше действия, и вам ничего не помогло, то вам необходимо обратиться в службу поддержки http://dle-news.ru/i...php?do=feedback со своего клиентского аккаунта. Предоставить доступ по FTP и к админпанели скрипта, ваш сервер будет проанализирован и вам будет оказана персональная помощь.