nvkz 0 Опубликовано: 21 апреля 2015 Рассказать Опубликовано: 21 апреля 2015 писал я уже сдесь что меня взломали. Щас опять пишу.. Снова ломанули .. dle 10.2. Сменил все что можно было как сказали на данном форуме.. сайт: russian-tnt.ru тупо удалил все новости и поставил свою каронную.. Че же я делаю опять не так. Цитата Ссылка на сообщение Поделиться на других сайтах
odys 384 Опубликовано: 21 апреля 2015 Рассказать Опубликовано: 21 апреля 2015 nvkz, тебя кто-то действительно недолюбливает. Какие-нибудь ещё сайты есть на хостинге? Если нет, советую сменить хостинг и поставить чистую dle без каких-либо модулей и прочего, восстановить данные из бекапа (если есть), но в ней убрать всех зарегистрированных пользователей, либо их всех перенести в группу «пользователи» и проверь, есть ли у этой группы доступ в админ-панель и разрешения на редактирование новостей. Что дырка в dle я не верю, пока не взломают dle-news.ru и не поверю! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 тупо удалил все новости и поставил свою каронную.. В админпанели есть раздел "список действий в админпанели", там есть записи о удалении новостей, добавлении данной новости? Цитата Ссылка на сообщение Поделиться на других сайтах
sargan 0 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 (изменено) Массово взламывают аккаунты журналистов на всех версиях DLE, 10.4 в том числе! Один журналист написал, что его аккаунт взломали на 200!!! сайтах. В поле "О себе" пишут вот это: [url=http://www.barandok.ru/]Баранов Док - Программы Книги Игры Видео уроки Обои Фотошоп [/url] [url=http://sochi2014sochi.ru/]Soft, видеоуроки, книги, игры, интернет, юмор[/url] [url=http://gangster.su/proga/26-baza-dle-saytov.html]База DLE сайтов [/url] Аваторка во всех взломанных аккаунтах логотип с сайта barandok.ru Так же регистрация новых пользователей проскакивает с такой авой. Затем идёт добавление новостей от имени журналистов со ссылкой на данные говносайты. Бан по ip и Email не помогает (каждый раз новые). Подозреваю, что взлом аккаунтов происходит через регистрацию на этих сайтах и затем вытягивания пароля аккаунта. Только не знаю как вытягивают зашифрованный пароль. У меня движок 10.4, сайт bukvaed.net Да, забыл добавить важную деталь! Обратил внимание, что по времени регистрации, сначала идёт регистрация нового пользователя вот с этой аватаркой а потом идёт взлом аккаунта журналиста, установка этой же аваторки в его профиль, изменение Email и пароля в профиле. Посмотрите аваторку, может в ней какой то код зашит. Изменено 22 апреля 2015 пользователем sargan Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Один журналист написал, что его аккаунт взломали на 200!!! сайтах. Это уже похоже не на взлом, а кража у него собственных доступов, причем он наверняка пользуется одним и тем же логином и паролем на всех сайтах. Я очень сомневаюсь, что на всех этих сайтах у него разные пароли. Так что это не больше не взлом, а "безалаберность" в плане собственной безопасности. Посмотрите аваторку, может в ней какой то код зашит. Ничего в ней нет, кроме собственно картинки. Вашим журналистам нужно следить за своими аккаунтами, очень похоже что они регистрируются везде подряд в качестве журналистов на разных сайтах с одними и теми же данными, и если они например на каком то сайте DLE зарегистрировались, то недобросовестный администратор сайта, может воспользоваться этими данными на других сайтах. Судя по ссылкам что вы дали в виде спама, они на DLE, поэтому тут почти наверняка ваши журналисты регистрировались с одними и теми же данными на этих, а может быть других сайтах DLE, а недобросовестный администратор этими данными воспользовался. Первое и простое правило безопасности, нельзя на разных сайтах использовать один и тот же пароль. Второе не давать доступ в качестве журналистов тем, кто этим правилом пренебрегает. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
sargan 0 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 (изменено) Сейчас посмотрел список действий в админ панели, и обнаружил постоянный бруд профилей. Причём журналиста dedua уже взламывали. Изменено 22 апреля 2015 пользователем sargan Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Сейчас посмотрел список действий в админ панели, и обнаружил постоянный бруд профилей. Причём журналиста dedua уже взламывали. Вы на даты и время смотрите. Какой же это брут, когда всего четыре неверных ввода за 16 часов причем с разницей в несколько часов. Такими темпами на брут уйдет миллионы лет. Тут очевидна просто ошибка при вводе пароля. Брут это тысячи переборов в минуту. А за 4 попытки, можно подобрать только если пароль 123 или равен логину например. Для того чтобы полностью обезопасить себя от брута, установите минимальное количество неверных вводов пароля в настройках скрипта в админпанели и используйте сложные пароли не менее 8 символов состящий из букв и цифр, лучше в разном регистре. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
sargan 0 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Лично у меня ошибок входа не было "Админ" и IP все не мои). Кстати, а как имя администратора изменить? Не разу не менял, но вижу, что нужно). Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Лично у меня ошибок входа не было "Админ" и IP все не мои). Это могли пытаться подобрать, видно что затею бросили еще 13 апреля. Как я написал выше от брута защитится легко, следуя правилам указанным выше. Кстати, а как имя администратора изменить? В админпанели в разделе редактирования профиля. Не разу не менял, но вижу, что нужно). Не думаю что в этом есть какой то смысл. Логин это не секретное значение. По вашему скриншоту активного брута нет, так кто то балуется, пытаясь использовать пару простейших комбинаций, на случай вдруг сработает. Цитата Ссылка на сообщение Поделиться на других сайтах
sargan 0 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Спасибо большое за ответы! Сейчас рассылку журналистам сделаю, чтоб сменили пароли на более сложные и индивидуальные, отличные от других сайтов. Цитата Ссылка на сообщение Поделиться на других сайтах
Shraibikus 1 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 Что дырка в dle я не верю, пока не взломают dle-news.ru и не поверю! Да и не будут его ломать кому он нужен? ) В данном случае рекомендую заблокировать доступ к админке через .htaccess и там же запретить вызов левых скриптов с урла. А все стоковые блокировки в админке типа ограничение по айпи, это скорее защита от пыли и школоло... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 22 апреля 2015 Рассказать Опубликовано: 22 апреля 2015 В данном случае рекомендую заблокировать доступ к админке через .htaccess и там же запретить вызов левых скриптов с урла. А все стоковые блокировки в админке типа ограничение по айпи, это скорее защита от пыли и школоло... Простите, но совет мягко говоря неверный. Во первых никаких "левых скриптов", вообще быть не должно на сервере, а не их запуск запрещаться, а во вторых блокировка по IP в .htaccess и блокировка в админпанели доступа по IP, это одно и то же по функциональности действие и не может быть одно безопаснее другого.Я в самом начале задал один важный вопрос топик стартеру, пока он не ответил, но именно от этого ответа зависит что нужно делать дальше, без этого, все ответы это не обоснованные и не корректные советы. Цитата Ссылка на сообщение Поделиться на других сайтах
Shraibikus 1 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 Путаете теплое с мягким, однозначно, ваше сравнение с блокировкой на уровне сервера и блокировка на уровне движка сайта мягко говоря непрофессионально, хотя судя потому что dle-news имеет две версии одного и того же сайта, мне как сеошнику говорит о многом. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 Путаете теплое с мягким, однозначно, ваше сравнение с блокировкой на уровне сервера и блокировка на уровне движка сайта мягко говоря непрофессионально, хотя судя потому что dle-news имеет две версии одного и того же сайта, мне как сеошнику говорит о многом. Ну конечно я путаю, нет, это вы придумываете несуществующие "байки" и вводите ими других в заблуждение. Вы написали: В данном случае рекомендую заблокировать доступ к админке через .htaccess А теперь смотрим, файл админпанели всего один, а он уже подключает все остальное, выполнение других файлов адмипанели в DLE без основного невозможно и вы тем самым блокируете к нему доступ по IP на уровне сервера, т.е. скрипт не запускается вообще. Блокировка в DLE это блокировка на уровне скрипта, но запускается она самым первым. Т.е. скрипт запускается и тут же блокируется. Разница между блокировкой в скрипте и блокировкой в .htaccess лишь в одной ступеньке. Между этими ступеньками нет ничего. Поэтому и разницы нет никакой между блокировкой в .htaccess и блокировкой в скрипте, потому как между ними один шаг, а между шагами нет никакого выполнения кода, соответственно и воспользоваться этим промежутком для взлома нет даже теоретической возможности. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
LADYX 90 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 недобросовестный администратор сайта, может воспользоваться этими данными на других сайтах. Скажите, пожалуйста, так ведь пароли же в зашифрованном виде. Как тогда админ может этим воспользоваться? Цитата Ссылка на сообщение Поделиться на других сайтах
IgorA100 90 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 Как тогда админ может этим воспользоваться? А кто запрещает админу сделать еще одно поле в БД, куда будет записываться пароль в открытом виде? Правильно - никто не запретит. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 Скажите, пожалуйста, так ведь пароли же в зашифрованном виде. Как тогда админ может этим воспользоваться? Можно например собирать как указали выше, это пара строк кода и 10 минут времени, для изменения кода DLE. А вообще в условиях мощностей современных GPU, можно путем перебора получить правильный хеш, это не очень долгий процесс. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
LADYX 90 Опубликовано: 23 апреля 2015 Рассказать Опубликовано: 23 апреля 2015 Понятно, спасибо. Да, такая работа конечно недобросовестных администраторов, брр, подобные вызывают только отвращение. Цитата Ссылка на сообщение Поделиться на других сайтах
nvkz 0 Опубликовано: 29 апреля 2015 Рассказать Опубликовано: 29 апреля 2015 Автор Всё что сдесь написанно это фигня. Тот тип просто заходит не под админ панелью.. Вот лично у меня админ панели ваще небыло я ёё убирал.. (Удалял файл). А ваще непонятно через что.. В админке его присувствие нету.. Ну и после пароль от админки неподходит.. В общем он сказал может все сайты ломануть на Dle если захочет Так что так.. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 29 апреля 2015 Рассказать Опубликовано: 29 апреля 2015 А ваще непонятно через что.. В админке его присувствие нету.. Ну и после пароль от админки неподходит.. В общем он сказал может все сайты ломануть на Dle если захочет Так что так.. Вариантов два, либо он имеет прямой доступ к вашему серверу, либо на сервере находится шелл. Вам нужно сделать следующее, полностью перезалить все файлы скрипта на сервере, заменив их на оригинальные из архива дистрибутива. Удалить все посторонние скрипты с сервера и файлы скриптов, не имеющие отношения к оригинальному скрипту. Если у вас старая версия скрипта, убедится что вы установили все патчи безопасности http://dle-news.ru/bags/ После чего нужно в обязательном порядке менять все без исключения пароли на сервере. К базе данных, по FTP, к панели хостинга и т.д. Цитата Ссылка на сообщение Поделиться на других сайтах
Shraibikus 1 Опубликовано: 30 апреля 2015 Рассказать Опубликовано: 30 апреля 2015 Всё что сдесь написанно это фигня. Тот тип просто заходит не под админ панелью.. Вот лично у меня админ панели ваще небыло я ёё убирал.. (Удалял файл). А ваще непонятно через что.. В админке его присувствие нету.. Ну и после пароль от админки неподходит.. В общем он сказал может все сайты ломануть на Dle если захочет Так что так.. Если по уму сделать не сможет, первые шаги я выше описал остальное сможете найти здесь http://blogerator.ru/page/fajl-primery-htaccess-redirekt-dostup Цитата Ссылка на сообщение Поделиться на других сайтах
nvkz 0 Опубликовано: 30 апреля 2015 Рассказать Опубликовано: 30 апреля 2015 Автор А ваще непонятно через что.. В админке его присувствие нету.. Ну и после пароль от админки неподходит.. В общем он сказал может все сайты ломануть на Dle если захочет Так что так.. Вариантов два, либо он имеет прямой доступ к вашему серверу, либо на сервере находится шелл. Вам нужно сделать следующее, полностью перезалить все файлы скрипта на сервере, заменив их на оригинальные из архива дистрибутива. Удалить все посторонние скрипты с сервера и файлы скриптов, не имеющие отношения к оригинальному скрипту. Если у вас старая версия скрипта, убедится что вы установили все патчи безопасности http://dle-news.ru/bags/ После чего нужно в обязательном порядке менять все без исключения пароли на сервере. К базе данных, по FTP, к панели хостинга и т.д. Спасибо. Щас начну занова делать.... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.