Взломали dle 9.7

Друзья, ну не нуб совсем я.

Есть ли лиценз - сейчас так же увидел, что взломан.

По ходу дела гуглили как-то по всем DLE и что есть в выдаче по ВЧ - загружали шелы через аватар и правили файлы.. только на столько массово.. думается мне, что скрипт какой-то это. Однако про файлик в папке из первого поста я ничего не нашел. Наверное это хацкер себе бекдорик оставил ( так как у меня есть траффф).

Нуллед только с офф. сайта mid-team. У меня не было с ним проблем на нуленых версиях еще со времен 7.x DLE. По поводу перепаковки - шеллов.. это абсурд . Я поднял бакип от 7-го января этого файла в папке не было. Дата изменения была от 23 января ( я говорю о первом файле из поста - emot.php ) в логах я доступа, кроме как своего - там не обнаружил. А странно.

9.7 ломаются вот этим 9.8 подвержен? У кого-нибудь есть информация?

Ситуация 1 в 1.

ВОПРОС только КАК он новосозданного юзера УДАЛИЛ? Неужели настолько скурпулезно, что мол взломал - хвостов не оставлю.. и удаляет за собой..

Ну значит никому не нужны были раньше ваши сайты. А сейчас возможно понадобились. И как понять вот это - "Есть ли лиценз - сейчас так же увидел, что взломан." ?

KySoK

Это понять, что есть из списка взломанных и сайт с лицензионной ДЛЕ. :(

Вообщем из 30 DLE'шек зловредом успели окрестить 2.

Сижу читаю статью, решил проверить есть ли на моём DLE 9.4 Такой юзер с ником tehApocalypse, и о да, он есть, и стаж его 2 месяца и 13 дней. Последний визит 9 января. А в статье указано что взломы были 6 числа. Проверил все указанные там файлы на наличие кода, ни одного не обнаружил.

ТС, вы закрывали дыры как там сказано было или нет?

KySoK

У меня пользователь был другой. hich пробел Accipse вот такой. и лог был users/hichAccipse/index.php

Я повторюсь, меня заботит как он удалил себя с сайта, т.е. ну зарегался.. ну залил шелл.. неужели так все "продуманно", что удалился потом из списка юзеров ( и из базы ) после заливки? Почему боюсь.. что бы хвостов не оставить никаких.

айпишка принадлежала московской корбине.

Не закрывал. Я пока ограничился удалением зловреда, сменой доступов массового назначения, в настройках ДЛЕ максимально зарег. юзеров везде выставил на 1. дабы регистрация была физически не возможна. Завтра начну трансфер на 9.8 ( но что бы с 9.7 перейти.. надо еще таблицы сравнить, а беглый compare дал понять, что они отличаются в основном varchar ).

Ни кто не мигрировал безболезненно с 9.7 до 9.8 ? А далее на 9.8 попробовать повторить тот же трюк, что и 9.7..

Странно, что на оф. сайте ДЛЕ про эту дыру пока ничего не написано, может еще не знают.

Ну вот он и удалил себя, он же заразил файлы

engine/data/config.php

engine/data/dbconfig.php

Я пока ничего трогать не буду, пока вроде спокойно всё.

---------- Добавлено 25.03.2013 в 02:47 ----------

Как это, а это что - ссылка

Я так понимаю, что у товарища, что взломал пол-рунета и сливает трафф на мобильные ПП есть некий скрипт, или софт самописный.. который выполняет ряд нехитрых одинаковых действий на DLE. создает пользователя. заливает шелл.. редактирует файлы - удаляет себя из СУБД --??? Profit. Только деньги считать остается на статистике пользователей с "обновленными" браузерами.

Ищет я так понимаю он DLE 9.7 как-то через гугл. и данный список грузит софту..

Давайте представим.. 200к найденных сайтов... отданных софту.. 190к пробив.. это же сколько трафика злой гений имеет.

---------- Post added 25-03-2013 at 02:48 ----------

Эта ссылка НЕ закрывает эту уязвимостью

Ага, возможно и скрипт, мож на Zenno мутканул себе))

Как бы у себя проверить на дыры версию...

---------- Добавлено 25.03.2013 в 02:57 ----------

Не думал себе такое ставить ? Антивирус DLE

KySoK

Пускай и с офф. сайта ссылка.. но ник автора zeos наводит на ассоциации с зевсом ( ;) )

Сейчас на безлимитном шареде я вряд ли решу вопрос так, как мне хочется..

Например можно написать скрипт с пары десятков строчек. Которому только каталоги DLE подсовывай. вычислять md5 от списка "возможно" уязвимых файлов дле.. и если тот вдруг изменился - то echo mail и в почту. Это так, например.