Перейти к публикации

Заливают вредоностный код

vip-moto

Автор: vip-moto,
в Прием багов

 Рассказать Подписчики 0

Рекомендованные сообщения

goga5

goga5 1

Опубликовано:
Опубликовано:

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Есть такой, что с ним делать, банить по ip ? он и есть виновник ?

Ссылка на сообщение
Поделиться на других сайтах
dakk

dakk 11

Опубликовано:
Опубликовано:

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

152f1eae930f.jpg

У меня кстати 8-го тоже зарегистрировался этот черт. ip был 151.0.2.63

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах
olegarter

olegarter 0

Опубликовано:
Опубликовано: (изменено)

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Оппа, красавчег... я его тож обнаружил! у меня 5го зареган

%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA.PNG

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Дак и я тебе о том же не о ПО а червях, что проблему решай с антивирусами с браузерами... клиенты и то что вытаскивается из них не причем = решать вопросы надо с системой безопасности

Изменено пользователем olegarter
Ссылка на сообщение
Поделиться на других сайтах
Natalie

Natalie 0

Опубликовано:
Опубликовано: (изменено)

+1

IP: 151.0.7.30 Публикаций: 0 Дата посещения: 12 января 2013 - 02:44 Дата регистрации: 9 января 2013 - 01:24 E-mail:tehapocalypse@ya.ru

Изменено пользователем Natalie
Ссылка на сообщение
Поделиться на других сайтах
Drims

Drims 2

Опубликовано:
Опубликовано:

Есть такой пользователь, но толку его банить? Захочет зайдёт с другого IP и перерегистрируется(.

Сегодня узнала, что сайт блочит Каспер, патчи поставлены вовремя. Пересмотрела файлы выше описанные, ничего не нашла. Ответ от Касперского ещё не пришёл. :angry:

Ссылка на сообщение
Поделиться на других сайтах
rustem1

rustem1 0

Опубликовано:
Опубликовано:

скажите пож. если в php.ini добавить фкнкции chmod и exec и shell_exec к списку аргументов дорективы disable_functions. повиляет ли это на работу движка??? Как я понимаю она защищтит от изменения прав на папку и файлы???

Ссылка на сообщение
Поделиться на других сайтах
olegarter

olegarter 0

Опубликовано:
Опубликовано: (изменено)

Это понятно что бан ip это не выход из ситуации. Понятно что зареганный чувак получил доступ, через движок к файлам с установленными правами на запись (666), у кого то и к папкам (777)

Изменено пользователем olegarter
Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Сайт также подвергся взлому.

Патч последний стоял, безопасность сервера была на приличном уровне.

Вот, что засекли логи: [17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-"[17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Если это привело к проблемам, то эти логи очевидно указывают на отсутствие патча http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html на сервере. Если на сайте установлено несколько сайтов, то проверять нужно все сайты.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Итак тема перешла уже по большей части во флуд, поэтому я ее закрываю.

Подведу общие итоги.

Сегодня был выпущен обновленный патч безопасности http://dle-news.ru/b...-versii-97.html который включает в себя выпущенные ранее патчи безопасности, но он является более полным и добавляет в себя некоторые дополнительные функции.

Патч предназначен только для версии 9.7. Пользователи которые используют другие версии скрипта должны ставить патчи которые вышли ранее для их версий http://dle-news.ru/bags/

Если ваш сайт подвергся взлому после установки патчей безопасности, то видимо на сервере присутствует шелл. Для его удаления необходимо предпринять следующие действия:

1. Восстановите все файлы на сервере на оригинальные из архива дистрибутива.

2. Установите все патчи безопасности повторно после этого http://dle-news.ru/bags/

3. В админпанели запустите антивирус и удалите все на что он укажет.

4. Проверьте файлы в папке engine/data/ на наличие посторонних кодов.

5. Удалите все посторонние модули и скрипты с сервера если таковые имеются

6. Смените все пароли в том числе к БД и по FTP.

7. Обновите серверное ПО на вашем сервере, в первую очередь обратите внимание на phpMyAdmin, обновлять его нужно обязательно.

Если на сервере установлено несколько сайтов, то данные действия нужно провести для всех сайтов на аккаунте.

Возможно также были украдены доступы к серверу. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-new...ndpost&p=175979

http://forum.dle-new...32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP.

Если вы приняли все описанные выше действия, и вам ничего не помогло, то вам необходимо обратиться в службу поддержки http://dle-news.ru/i...php?do=feedback со своего клиентского аккаунта. Предоставить доступ по FTP и к админпанели скрипта, ваш сервер будет проанализирован и вам будет оказана персональная помощь.

  • Поддерживаю 2
Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
 Рассказать
Подписчики 0
Перейти к списку тем
×
×
  • Создать...