Форум Сайтостроение Веб-строительство

Уязвимость DLE, как найти поганца?

12
krek753
На сайте с 15.12.2008
Offline
104
krek753
#11

Только обнаружил, что эта проблема по всему серверу, как на dle сайтах, так и на joomla.

krek753
На сайте с 15.12.2008
Offline
104
krek753
#12

айболитом нашел такие файлы:

sysaz.php

wp-plug.php

sys.php

Еще js код и php код дописанный во всех index.php

про .htaccess и так понятно они все переписаны.

Удалил скрипты и коды, начал восстанавливать .htaccess но через минуту все .htaccess стали такими же. php не появилось. Я посмотрел на другой сайт там такая же история с кодами.

я подумал, скрипт же должен запускаться сам через каждое время, взглянул на крон, а там вот что:

*/30 * * * *

/bin/bash /usr/local/bin/fornex-rm-php-sess.sh >/dev/null 2>&1

@reboot

/bin/bash /usr/local/bin/fornex-update-rpafconf.sh >/dev/null 2>&1

* * * * *

/bin/ps -C gzip -o pid h|/usr/bin/xargs /usr/bin/ionice -c 3 -p >/dev/null 2>&1

* * * * *

/bin/ps -C tar -o pid h|/usr/bin/xargs /usr/bin/ionice -c 3 -p >/dev/null 2>&1

10 0 * * *

/usr/local/ispmgr/sbin/cron.sh sbin/mgrctl -m ispmgr task.daily

14 3 * * *

/usr/local/ispmgr/sbin/cron.sh sbin/update.sh ispmgr

*/30 * * * *

/usr/local/ispmgr/sbin/dbcache

1 * * * *

/usr/local/ispmgr/sbin/rotate

15 2 * * *

/usr/local/ispmgr/sbin/traffic.pl

Кто что скажет?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#13

krek753, крон скорее всего не при чем, вероятно у вас в одном из файлов дописан "правильный" код, который спамит в другие, при открытии сайта все автоматом срабатывает...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
R
На сайте с 24.01.2008
Offline
180
Алексей
#14
krek753:
айболитом нашел такие файлы:
sysaz.php
wp-plug.php
sys.php
Еще js код и php код дописанный во всех index.php
про .htaccess и так понятно они все переписаны.
Удалил скрипты и коды, начал восстанавливать .htaccess но через минуту все .htaccess стали такими же.

Кто что скажет?

Подобные файлы могут быть разных названий и даже содержания, но выполнять одну функция - давать доступ. Так же не всегда крон влияет на автоматическую перезапись, так же все это можно сделать через скрипт.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
Какой хостер не блокирует Файлы binlog на сервере sql запрос на изменение
krek753
На сайте с 15.12.2008
Offline
104
krek753
#15

Шел может быть залит только в корневые каталоги или во все другие тоже, которые находятся на сервере? Хочу полностью переустановить движки.

BrightGuy
На сайте с 03.10.2010
Offline
179
BrightGuy
#16
krek753:
Шел может быть залит только в корневые каталоги или во все другие тоже, которые находятся на сервере? Хочу полностью переустановить движки.

Может быть где угодно, на любом из сайтов.

-= Сайты на заказ | Правки, обновление, работы по DLE =- (/ru/forum/791118) Skype: rus.shevchuk (skype:rus.shevchuk?chat) | Telegram: @ruslansh (tg://resolve?domain=ruslansh) | ICQ: 606535768 | info@ruslan-shevchuk.com
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий