Сайт атакует вирус. Дистрибутив DLE initme.php

Может вы покажите заливаемые файлы? Возможно что-то прояснится.

Что тут показывать, после очередной заливки, решила запустить шел в браузере, обратившись к сайту с путем, где находится php с шеллом, я была в шоке. Через менеджер файлов по фтп, нет таких возможностей, как в этом шеле, спокойно гуляешь по всем сайтам на хостинге - к сожалению выйти нельзя, выше своего аккаунта. Можно менять права на папки, заливать и удалять файлы, а также редактируешь, что хочешь, в целом этот шел супер!

Вопрос остается открытым как шелл попадает на сайт? может через login.tpl, может через ftp, может через uploads, может через sql. Логи дают такую скудную информацию, что понять, что юзает злобный хакер, остается только догадываться. На сайтах на которых перестал появляться шел, логи обращения хакера появляются, хотя команда POST и проходит, но не один файл на хостинге не-меняется. Победа это или поражение покажет время!

Ирина, скажите, пожалуйста, удалось ли вылечить этот вирус и если да, то как?

Такая же проблема. Каждый день заливаются файлы:

initme.php (В папке engine)

related.php (в system -> cache)

function.php (в system -> cache)

а в main.tpl прописывается тэг {lb}, и в index.php прописывается код.

Удаление и смена пароля (фтп, sql, phpAdmin) не помогает...

Есть идеи?

Эта-же проблема постигла многих знакомых, если откроете файл function.php то можете увидеть список IP линкфид ботов, оказалось что злоумышленник продаёт ссылки именно в этой бирже. Пришлось просить суппорт чтобы перенесли площадки на аккаунт, чтобы в этой бирже уже никто не продавал ссылки с этих сайтов.

Каждый день заливаются такие файлы:

htaccess.php (в папке uploads) - хз (не раскодировал)

initme.php (в папке engine) - в нем закодирован код, для подключения ссылок

related.php (в engine/cache/system) - хз (не раскодировал)

function.php (в engine/cache/system) - хранятся купленные ссылки с вашего сайта

и в index.php прописывается код "require_once ROOT_DIR . '/engine/initme.php';" - служит для подключения файла initme.php к сайту

а в main.tpl прописывается тэг {lb} - служит для вывода ссылок

если на сайте установлен код sape, то в код "$tpl->set('{LINKS}', $sape->return_links());" добавляется переменная .$lb

при первой заливки вируса на сайт появляется ещё файлик 1.php

Удаление всех вышеперечисленных файлов и смена паролей (фтп, sql, phpAdmin) не помогает...

защита директорий паролем через .htaccess - не помогает...

Очевидно, что файлы заливаются через фтп, о чем и говорят логи фтп:

178.125.131.221 44239 /home/********/public_html/********/1.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:17:19 2011 0 178.125.131.221 2956 /home/********/public_html/********/engine/initme.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:20:11 2011 0 178.125.131.221 2956 /home/********/public_html/********/engine/initme.php b _ i r ******** ftp 1 * c

Tue Mar 15 14:21:35 2011 0 178.125.131.221 5038 /home/********/public_html/********/engine/cache/system/function.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:21:35 2011 0 178.125.131.221 9507 /home/********/public_html/********/engine/cache/system/related.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:21:41 2011 0 178.125.131.221 13 /home/********/public_html/********/engine/cache/system/cron.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:23:01 2011 0 178.125.131.221 6 /home/********/public_html/********/engine/cache/system/banned.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:28:29 2011 0 178.125.131.221 2369 /home/********/public_html/********/templates/Default/fullstory.tpl b _ o r ******** ftp 1 * c

Tue Mar 15 14:40:20 2011 2 178.125.131.221 26097 /home/********/public_html/********/uploads/posts/2011-02/1297525011_603d32b7-ed85-4f86-aa56-1cc4e88072eb.jpg b _ o r ******** ftp 1 * c

Tue Mar 15 14:40:45 2011 0 178.125.131.221 22159 /home/********/public_html/********/uploads/posts/2011-02/1297953424_ede49f57-6518-4341-96cc-50a62bafd999.jpg b _ o r ******** ftp 1 * c

Tue Mar 15 14:40:52 2011 0 178.125.131.221 20316 /home/********/public_html/********/uploads/posts/2011-02/1297976087_4e7d5260-170d-41c2-85fa-d6778fc3ef67.jpg b _ o r ******** ftp 1 * c

Tue Mar 15 14:43:56 2011 0 178.125.131.221 1246 /home/********/public_html/********/engine/cache/related_108.tmp b _ o r ******** ftp 1 * c

Tue Mar 15 14:44:55 2011 1 178.125.131.221 28860 /home/********/public_html/********/templates/Default/main.tpl b _ o r ******** ftp 1 * c

Tue Mar 15 14:45:29 2011 1 178.125.131.221 28855 /home/********/public_html/********/templates/Default/main.tpl b _ i r ******** ftp 1 * c

Tue Mar 15 14:47:27 2011 0 178.125.131.221 7552 /home/********/public_html/********/index.php b _ o r ******** ftp 1 * c

Tue Mar 15 14:48:59 2011 0 178.125.131.221 7506 /home/********/public_html/********/index.php b _ i r ******** ftp 1 * c

Tue Mar 15 14:54:10 2011 0 178.125.131.221 3451 /home/********/public_html/********/engine/data/config.php b _ o r ******** ftp 1 * c

Tue Mar 15 15:29:06 2011 0 178.125.131.221 3451 /home/********/public_html/********/engine/data/config.php b _ o r ******** ftp 1 * c

Tue Mar 15

В общем тут всё ясно - зашёл на фтп закинул файлы, изменил index.php и main.tpl, но для чего он обращался к config.php ? И к каким-то картинкам, которых я не нашёл...

Кто знает, каким образом в dle могут быть украдены пароли? (кража паролей моего компьютера исключается)

Наверное трояном слизали wcx_ftp.ini в тотале. Не сохраняйте пароли, лучше сразу скажите их мне. ))

Для начала, закройте доступ на фтп для всех, кроме вашего IP (если динамика, то укажите её диапазон. Хоть этот вариант и менее хорош, но всё же).

Проверьте компьютер на наличие всякой нечести. В идеале несколькими программами.

Далее смените все пароли, перезайлейте файлы, выставьте на всех папках верный CHMOD (777 на всё - неверно :) ). Проверьте базу на наличие js в новостях (бывает и такое)

Вот после этих нехитрых манипуляций можно уже смотреть далее.

mago de sombra

зачем такой гемор?

лучше залить новый двиг, потом дамп одеть поменять пароль от phpmyadmin и всё будет гуд!

sashka_, попробуйте читать тему целиком, а не только последнее сообщение.

Глядишь, и сообщения станут более осмысленными и дельными.