оявление постороннего кода в новостях DLE

edka
На сайте с 17.01.2010
Offline
190
#171
l17l:

это же вирусы? правильно ?

Нет, на вирус это не похоже.

ProLiant
На сайте с 07.12.2005
Offline
244
#172
l17l:
Да точно, все равно файлы эти появились, я все делал как надо, чистил, удалял, менял пароли от бд и т.д
это же вирусы? правильно ?

minify_g=admin_362b02e3176caf06208b31350d9444ef.gz
minify_g=admin_362b02e3176caf06208b31350d9444ef
minify_highslide,ierange,masha.js_5c219e655f1c9b2c5870f6b78ab3065d.gz
minify_highslide,ierange,masha.js_5c219e655f1c9b2c5870f6b78ab3065d

Не обязательно. Посмотрите свои новости на сайте (либо исходный код страницы), если есть там чужие скрипты, значит попались. :)

Выбирай оптимальный хостинг (http://cp.inferno.name/aff.php?aff=2053) для стабильного заработка на файловом трафе (https://espays.com/s.php?f=38). ;)
Бахмут
На сайте с 13.02.2009
Offline
74
#173
l17l:
Да точно, все равно файлы эти появились, я все делал как надо, чистил, удалял, менял пароли от бд и т.д
это же вирусы? правильно ?

minify_g=admin_362b02e3176caf06208b31350d9444ef.gz
minify_g=admin_362b02e3176caf06208b31350d9444ef
minify_highslide,ierange,masha.js_5c219e655f1c9b2c5870f6b78ab3065d.gz
minify_highslide,ierange,masha.js_5c219e655f1c9b2c5870f6b78ab3065d

Нет, это не вирусы! Это кеш вашего движка dle. Вирусный файл - это minify_dbconfig.php.js, через который злоумышленник видит пароль к вашей базе данных. А те файлы и должны появляться в данной папке, так как движок все время кешируется. Если нет файла minify_dbconfig.php.js - значит уязвимость вы закрыли правильно.

ProLiant
На сайте с 07.12.2005
Offline
244
#174
Бахмут:
Если нет файла minify_dbconfig.php.js - значит уязвимость вы закрыли правильно.

Либо до вас пока еще не добрались. :)

Бахмут
На сайте с 13.02.2009
Offline
74
#175
ProLiant:
Либо до вас пока еще не добрались. :)

Да там обычно у того чела, кто распространяет данным образом вирусы, автоматом стоит скрипт, который проверяет сервер и все сайты на нем на наличие данной уязвимости раз в сутки. Потому как не чисть вирусы - они каждое утро появляются. Если уязвимость закрыта и пару-тройку дней все нормально - вы от нее избавились.

... пока избавились... до нахождения новой дыры в dle)))

p.s. Кстати, стоит отметить, что данная уязвимость не в самом движке dle, а в стороннем модуле сжатия файлов Minify. Это несколько оправдывает разрабов длешника, но вот нам как-то это не особо греет душу, не правда ли?

ProLiant
На сайте с 07.12.2005
Offline
244
#176
Бахмут:

p.s. Кстати, стоит отметить, что данная уязвимость не в самом движке dle, а в стороннем модуле сжатия файлов Minify. Это несколько оправдывает разрабов длешника, но вот нам как-то это не особо греет душу, не правда ли?

Точно! При этом, на прошлых поломанных сайтах я обновил полностью файлы Minify, заодно обновил и на тех, до которых взломщик тогда не дошел. Тем не менее, пару дней назад и на тех, и на других сайтах снова был замечен этот код. Поэтому я склонен отвергнуть и проблему в Minify...

O4
На сайте с 26.09.2013
Offline
0
#177

Мне эта заплатка помогла. Уже 7 дней полет нормальный.

Бахмут
На сайте с 13.02.2009
Offline
74
#178
ogonek48rus:
Мне эта заплатка помогла. Уже 7 дней полет нормальный.

Если к вам лезли через модуль сжатия Minify, а не другую уязвимость и если вы поменяли все пароли после установки заплатки - то помогает на 100%. Проверено уже на десятках сайтов.

dakter
На сайте с 08.02.2012
Offline
123
#179
Мне эта заплатка помогла. Уже 7 дней полет нормальный.

7 дней это не показатель. Ломали сайт, поменял все пароли, поставил все заплатки, месяца 2 было все в порядке. И вот сейчас опять началось.

И файла - minify_dbconfig.php.js не появляется. Так что ломают через другую дыру.

Бахмут
На сайте с 13.02.2009
Offline
74
#180
dakter:
7 дней это не показатель. Ломали сайт, поменял все пароли, поставил все заплатки, месяца 2 было все в порядке. И вот сейчас опять началось.


И файла - minify_dbconfig.php.js не появляется. Так что ломают через другую дыру.

ну я так выше в комментарии и прописал - "Если к вам лезли через модуль сжатия Minify"

В данном случае могу посоветовать одно. Многие почему-то упорно не пользуются встроенным в движок dle антивирусом, а очень зря! Так легче найти дыру, удалить шелл и так далее.

Если не знаете, как к вам попадает вирус, то:

1. Почистите БД от вируса (много писали как это сделать, повторять не буду)

2. Придется снести весь ваш движок и ставим абсолютно новый. Иначе шелл скорее всего там уже сидит и никакой антивирус вам не поможет.

3. Опять меняем все пароли

4. После установки нового движка ставим на него свою базу данных, если есть - то все нужные модули

5. Заходим в админку и нажимаем Антивирус. Если вы ставили сторонние модули - то скорее всего он найдет файлы, которые по его мнению не должны быть в движке. Ничего страшного, дальше жмем - сделать снимок.

Вот теперь у вас снимок совершенно чистого движка без всяких шеллов и левых файлов, которые возможно, ранее оставил сам вирус. Теперь раз в сутки нажимаем проверку антивирусом. Обычно пищется - "При сканировании диска подозрительных файлов не обнаружено." Но если у вас появится любой "левый" файл, или же где-то пропишется в других файлах всего движка или же шаблона лишний символ или буква без вашего ведома - это и будет как раз внедренный шелл или уязвимость. Тогда уже гадость эту убираем с движка и когда знаешь что лечить, и нужно искать способ лечения данной уязвимости. Не забывайте делать новый снимок, если вы сами что-то меняли в шаблонах или движке.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий