оявление постороннего кода в новостях DLE

Третий день после чистки, смены паролей и установки заплатки все спокойно, может дыра есть конечно просто до моих сайтов еще не добрались по новой...

запарился я уже чистить базу данных, за 3 дня ее так обильно забили, вредоносным кодом, что жуть просто...

/ru/forum/comment/12138831

нету шелов, ни я ни техподдержка хостинга не нашли новых каких-либо файлов...

почему бы не перезалить двиг? Не обязательны новые файлы.

Достаточно system($_GET[cmd]); или открыть sqlinj и залиться можно будет снова.

У меня демон каждые пол часа проходится по всем файлам и сверяет хеши. + chmod

+ у вас может быть нагнут Phpmyadmin и стоять file_priv=y да и куча всякой разной шляпы)

смотрите логи :)

91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; ko-kr) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" "-"
91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /phppath/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; chromeframe/11.0.696.57)" "-"

вот такую бяку еще нашел в логах

пока просто поудалял урлы посмотрим, появится ли эта гадость снова, дальше уже буду вычищать полностью, пароли все поменял...

---------- Добавлено 13.09.2013 в 14:10 ----------

действительно данная папка присутствовала, удалил нафиг...

---------- Добавлено 13.09.2013 в 14:10 ----------

91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; ko-kr) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" "-"

91.224.160.25 - - [09/Sep/2013:19:56:49 +0400] "POST /phppath/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+disable_functions%3D%22%22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dphp%3A%2f%2finput+-n HTTP/1.1" 200 16 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; chromeframe/11.0.696.57)" "-"

аналогичная фигня в логах...

это или вас чекали на уязвимость в пхп, или у вас уязвимость в php и вам открыли url инклуд с урла, если последнее, то скорее всего в каком-то из файлов у вас есть код инклуда под шелл.

:)

но судя по логу, вроде ток чекали.

проверить легко - к своему урлу ставите /?-s или index.php?-s = если выдаст исходный код, то бага в пхп

ничего не выдает...

если не выдает, то вас просто чекали.

Парсят базу dle с гугла, а потом проверяют на все подряд.

Меняем ЧПУ, убираем админку на нестандартный путь, убираем все стандартные тексты дле и дышим свободно :)

Но большинство более менее тицевых/посещаемых уже в базе :)