X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взломали сайт на DLE 8.5
boomep
boomep
Topic Starter сообщение 4.7.2010, 12:51; Ответить: boomep
Сообщение #1


Участник
***

Группа: User
Сообщений: 183
Регистрация: 23.4.2008
Поблагодарили: 7 раз
Репутация:   7  


Добрый день уважаемые форумчане.
02.06.2010 был взломан сайт. Версия DLE 8.5 лицензионная.
Принцип взлома следующий в файлы main.tpl прописывался левый ифрейм.
Либо же в файлы
<script type="text/javascript" src="/engine/classes/js/menu.js"></script>
<script type="text/javascript" src="/engine/classes/js/dle_ajax.js"></script>
<script type="text/javascript" src="/engine/classes/js/js_edit.js"></script>
<script type="text/javascript" src="/engine/classes/highslide/highslide.js"></script>

прописывался зашифрованный код, который тоже подгружал левый ифрем.
С яндекса начали приходить письма, мол на сайте вирус, и сайт будет выводиться в поиске с пометкой не безопастный .
Удалил код ифрейма. Сменил пароли везде, проверил на посторонние файлы. Все почистил. Сутки все ок, а потом сново вирус в файлах яваскрипта. Решил на все файлы куда прописывался вирус поставить права 0444 (только чтение). И попросил админов запретить изменение прав на все эти фалы.
На след день захожу и вижу сново прописанный код в файлах яваскрипта. На вопрос к аддминам как так получилоась? Полчил сдеж ответ.
Провели расследование и выяснили как были изменены файлы.
Злоумышленник не изменял файлы на которые мы установили приоритетный флаг, он просто переименовал директорию выше,
к примеру /site.ru/engine/classes/ была изменена на директорию /site.ru/engine/conf
Затем создал новую директорию site.ru/engine/classes/ скопировав туда все старые файлы уже без флага иммунитета
Тем самым уже внедрил вредоносный код в нужные файлы.


Снес полностью сайт, все посторонние модули убрал, только все что предлагает дле оставил.
ЗАлил оригинальные файлы с оф сайта дле. Попросил админов сменить пароли на все что можно, и не говорить мне (дабы исключить заряжение моегго компа хотя проверялся и КИС 2010 (лицензия) и ДР веб куриет). так и сделали. Сегодня утром проснулся и вижу на сайте сново вирус. Я в шоке и не знаю как дальше себя вести и что делать. Надеюсь найду помощь и ответы здесьь. Буду рад любому откликнувшемуся
Вот пример ифрейма.
[not-group=1,2,3] iframe src="http://miminus.ru/amg.cgi?stats" width="1" height="2" style="visibility: hidden;"> /iframe[/not-group]


скобки в iframe убрал

Все модули отключены реклама отключена , кроме маркетгида. ..
админы сервера уже два раза просканили сервак на наличие шелов и вирусов. Результат отрицательный
Арендую собственный сервер + админы к нему.
-1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
valeros
valeros
сообщение 4.7.2010, 12:59; Ответить: valeros
Сообщение #2


Lux in tenebris
*****

Группа: Active User
Сообщений: 506
Регистрация: 6.5.2009
Из: Qiev
Поблагодарили: 357 раз
Репутация:   48  


Возможно заливают через соседей.Пробуйте сменить хост.
КИС 2010 (лицензия) и ДР веб куриет - не панацея,троян может не палиться антивирусами


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ChristmasNet
ChristmasNet
сообщение 4.7.2010, 13:00; Ответить: ChristmasNet
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


Заплатки все стоят на DLE?

Сообщение отредактировал ChristmasNet - 4.7.2010, 13:00
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Frankie
Frankie
сообщение 4.7.2010, 17:58; Ответить: Frankie
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 1520
Регистрация: 18.9.2009
Поблагодарили: 320 раз
Репутация:   36  


(ChristmasNet @ 4.7.2010, 13:00) *
Заплатки все стоят на DLE?

а на 8.5 разве есть какие-то заплатки? поделитесь
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Guerrilla
Guerrilla
сообщение 4.7.2010, 18:01; Ответить: Guerrilla
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 550
Регистрация: 2.3.2008
Из: Мир
Поблагодарили: 115 раз
Репутация:   15  


Почистите комп антивирусными программами и смените пароли на фтп.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Hallboy222
Hallboy222
сообщение 4.7.2010, 18:03; Ответить: Hallboy222
Сообщение #6


Любитель идей
*******


Группа: Active User
Сообщений: 2582
Регистрация: 27.5.2010
Из: Москва
Поблагодарили: 872 раза
Репутация:   149  


(Frankie @ 4.7.2010, 17:58) *
а на 8.5 разве есть какие-то заплатки? поделитесь

Раз, Два. Плюс если есть форум dle forum, то Три.


Поблагодарили: (2)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
iBBi
iBBi
сообщение 4.7.2010, 19:07; Ответить: iBBi
Сообщение #7


Участник
***

Группа: User
Сообщений: 227
Регистрация: 20.8.2009
Поблагодарили: 31 раз
Репутация:   7  


(Guerrilla @ 4.7.2010, 17:01) *
Почистите комп антивирусными программами и смените пароли на фтп.

не читаем посты?

Попросил админов сменить пароли на все что можно, и не говорить мне (дабы исключить заряжение моегго компа хотя проверялся и КИС 2010 (лицензия) и ДР веб куриет). так и сделали. Сегодня утром проснулся и вижу на сайте сново вирус.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
boomep
boomep
Topic Starter сообщение 4.7.2010, 19:31; Ответить: boomep
Сообщение #8


Участник
***

Группа: User
Сообщений: 183
Регистрация: 23.4.2008
Поблагодарили: 7 раз
Репутация:   7  


(iBBi @ 4.7.2010, 18:07) *
не читаем посты?
во во..
Все написано, и про пароли к фтп и то что у меня фтп отклчено и про смену паролей. Токо забылся указать , чтокогда перезаливал файлы сайта, а это было вчера , то качал архив с оф сайта дле, где заплатки уже включены в новом архиве

Сообщение отредактировал boomep - 4.7.2010, 19:31
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Hallboy222
Hallboy222
сообщение 4.7.2010, 19:33; Ответить: Hallboy222
Сообщение #9


Любитель идей
*******


Группа: Active User
Сообщений: 2582
Регистрация: 27.5.2010
Из: Москва
Поблагодарили: 872 раза
Репутация:   149  


(boomep @ 4.7.2010, 19:31) *
Все написано, и про пароли к фтп и то что у меня фтп отклчено и про смену паролей. Токо забылся указать , чтокогда перезаливал файлы сайта, а это было вчера , то качал архив с оф сайта дле, где заплатки уже включены в новом архиве

Так, а есть ли у вас на сайте форум?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
boomep
boomep
Topic Starter сообщение 4.7.2010, 21:39; Ответить: boomep
Сообщение #10


Участник
***

Группа: User
Сообщений: 183
Регистрация: 23.4.2008
Поблагодарили: 7 раз
Репутация:   7  


нет форуума нету
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Прошу оценить новостной сайт
3 Cunningfox 422 Сегодня, 11:33
автор: Antoncheg87
Открытая тема (нет новых ответов) Посоветуйте тему WP! Новостной сайт
Нужна тема WP желательно рус и с ТП
0 aidos 161 Сегодня, 10:54
автор: aidos
Горячая тема (нет новых ответов) Дешевый трафик на сайт, накрутка счетчиков
накрутка статистики (бот трафик)
145 StarWareznik 68704 9.12.2017, 22:02
автор: StarWareznik
Открытая тема (нет новых ответов) Требуется! Создать сайт обменника электронных/крипто валют
1 kalineo 320 8.12.2017, 16:07
автор: qpPeW
Открытая тема (нет новых ответов) ВНИМАНИЕ: Партнёрская программа от Jeempo - сайт знакомств с крутым конвертом!
0 jeempo 356 8.12.2017, 7:59
автор: jeempo


 



RSS Текстовая версия Сейчас: 11.12.2017, 11:56
Дизайн