CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
vip-moto

Заливают вредоностный код

Recommended Posts

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Есть такой, что с ним делать, банить по ip ? он и есть виновник ?

Share this post


Link to post
Share on other sites

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

152f1eae930f.jpg

У меня кстати 8-го тоже зарегистрировался этот черт. ip был 151.0.2.63

  • Upvote 1

Share this post


Link to post
Share on other sites

Те кого взломали ищите среди своих зарегистрированных юзоров вот этого.

Оппа, красавчег... я его тож обнаружил! у меня 5го зареган

%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA.PNG

Я не говорю что сами проги воруют, я про то что с них воруют, например, там где у них в системе хранятся пароли и.т.п. так что я о вирусах, троян, черв и прочее ерунды писал. Вот придумают новый вирус и пойдет опять бум взломов, так что береженого бог бережет!

Дак и я тебе о том же не о ПО а червях, что проблему решай с антивирусами с браузерами... клиенты и то что вытаскивается из них не причем = решать вопросы надо с системой безопасности

Edited by olegarter

Share this post


Link to post
Share on other sites

+1

IP: 151.0.7.30 Публикаций: 0 Дата посещения: 12 января 2013 - 02:44 Дата регистрации: 9 января 2013 - 01:24 E-mail:tehapocalypse@ya.ru

Edited by Natalie

Share this post


Link to post
Share on other sites

Есть такой пользователь, но толку его банить? Захочет зайдёт с другого IP и перерегистрируется(.

Сегодня узнала, что сайт блочит Каспер, патчи поставлены вовремя. Пересмотрела файлы выше описанные, ничего не нашла. Ответ от Касперского ещё не пришёл. :angry:

Share this post


Link to post
Share on other sites

скажите пож. если в php.ini добавить фкнкции chmod и exec и shell_exec к списку аргументов дорективы disable_functions. повиляет ли это на работу движка??? Как я понимаю она защищтит от изменения прав на папку и файлы???

Share this post


Link to post
Share on other sites

Это понятно что бан ip это не выход из ситуации. Понятно что зареганный чувак получил доступ, через движок к файлам с установленными правами на запись (666), у кого то и к папкам (777)

Edited by olegarter

Share this post


Link to post
Share on other sites

тоже ломали, но этого пользователя с таким ip не обнаружен

Share this post


Link to post
Share on other sites

Сайт также подвергся взлому.

Патч последний стоял, безопасность сервера была на приличном уровне.

Вот, что засекли логи: [17/Jan/2013:11:34:11 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_312.gif" "-"[17/Jan/2013:11:34:11 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Если это привело к проблемам, то эти логи очевидно указывают на отсутствие патча http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html на сервере. Если на сайте установлено несколько сайтов, то проверять нужно все сайты.

Share this post


Link to post
Share on other sites

Итак тема перешла уже по большей части во флуд, поэтому я ее закрываю.

Подведу общие итоги.

Сегодня был выпущен обновленный патч безопасности http://dle-news.ru/b...-versii-97.html который включает в себя выпущенные ранее патчи безопасности, но он является более полным и добавляет в себя некоторые дополнительные функции.

Патч предназначен только для версии 9.7. Пользователи которые используют другие версии скрипта должны ставить патчи которые вышли ранее для их версий http://dle-news.ru/bags/

Если ваш сайт подвергся взлому после установки патчей безопасности, то видимо на сервере присутствует шелл. Для его удаления необходимо предпринять следующие действия:

1. Восстановите все файлы на сервере на оригинальные из архива дистрибутива.

2. Установите все патчи безопасности повторно после этого http://dle-news.ru/bags/

3. В админпанели запустите антивирус и удалите все на что он укажет.

4. Проверьте файлы в папке engine/data/ на наличие посторонних кодов.

5. Удалите все посторонние модули и скрипты с сервера если таковые имеются

6. Смените все пароли в том числе к БД и по FTP.

7. Обновите серверное ПО на вашем сервере, в первую очередь обратите внимание на phpMyAdmin, обновлять его нужно обязательно.

Если на сервере установлено несколько сайтов, то данные действия нужно провести для всех сайтов на аккаунте.

Возможно также были украдены доступы к серверу. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-new...ndpost&p=175979

http://forum.dle-new...32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP.

Если вы приняли все описанные выше действия, и вам ничего не помогло, то вам необходимо обратиться в службу поддержки http://dle-news.ru/i...php?do=feedback со своего клиентского аккаунта. Предоставить доступ по FTP и к админпанели скрипта, ваш сервер будет проанализирован и вам будет оказана персональная помощь.

  • Upvote 2

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this