оявление постороннего кода в новостях DLE

Еще никто не нашел через какую дыру ломают. Были посты где стояла лицензия без всяких модулей, и была взломана. Как думаешь удобно будет каждый раз движок менять после взлома?

Вы немного думаете не в том направлении! Дырку легче закрыть, когда знаешь диагноз. Например, в том-то и том-то файле появляется некий скрипт. Отсюда плясать можно, можно писать разработчикам движка в техподдержку, искать решение в инете, в общем - найти решение можно, если постараться.

А когда вообще ничего не знаешь, как у вас "7 дней это не показатель. Ломали сайт, поменял все пароли, поставил все заплатки, месяца 2 было все в порядке. И вот сейчас опять началось." - тогда вообще НИКАКИХ ВАРИАНТОВ!

Если ставил все на чистый движок и делал снимки - тогда не нужно будет его переставлять после каждого взлома. Достаточно будет удалять появившиеся вирусные файлы или же лишний вирусный код, который внедрился в файлы движка. Вот для этого и нужно сделать ОДИН РАЗ снимок чистого движка, его файлов и шаблонов, чтоб потом не ломать голову, откуда пришел вирус. Я это делаю с самого начала на всех сайтах дле, где работаю, и поверьте, очень порою спасает этот снимок. Приведу элементарный пример со своей практики. Одного клиента постоянно ломали. Еще с версии 8.2 (представляете, как давно это было?). Он ставил все заплатки на уязвимости, которые выходили, обновлялся с каждой новой версией до дле 10.0, платил хостерам, чтоб они прогнали антивирус по серваку - ничего не помогло, стабильно раз в неделю в шаблоне появлялись раз в неделю левые ссылки. А решение нашли случайно. Проверили снимок чистого движка с его. Показался "левый файл", запрятанный в глубине папок. Именно это и был загруженный пару лет назад шелл. При обновлении движка старые файлы не стираются, а переписываются. А те, которые там появились давно - тоже не исчезают, они также висят у вас в движке. Но тут шелл был отдельным файлом. Если он прописывается в файле движка - то тогда легче переставить весь движок и следить антивирусом, как я и предлагаю.

Так в том то и дело что неизвестно где собака зарыта. Могут пихнуть в файлы движка, а могут оставить их совершенно чистыми как последний раз, а говнокод только в новостях. Что делать, что ставить, где искать. Движок тоже несколько раз обновлял, кому интересно вот тема.

http://alaev.info/blog/post/3970

Последний раз специально проверил движок, чистый, нет лишних файлов, коды не засраны, только в новостях. Антивирус не ругается, с мобилы без проблем заходит, ни куда не перекидывает.

Даже если так, это не говорит о том, что ломают через дыры дле, может у них не было заплатки, криво настроено серверное ПО или дырявые версии, может там phpmyadmin в открытом доступе, вариантов полно.

Проверяйте, но только если у вас не лицензия, а ещё, наверное, и шаблон с модулями из паблика, то не удивляйтесь, если потом опять сломают.

Через шаблон так врядли сломают, в лцучшем случае, левые исходящие ссылки получим, ну или левые скрипты-ссылки в файлах шаблона, но врядли в БД.

Вообще судя по всему смогли получить только пароль от базы, а на сам сайт залезть не смогли (это по поводу через чего ломали).

Подтверждение этому отсутствие шеллов на взломанных сайтах (у меня по крайней мере).

у меня вот на одном сайте начал пропадать .htaccess

и заливают два файла awbeKf.html rwbeKf.html

удаляю файлы, заливаю .htaccess через сутки вновь всё пропадает и заливается. Как можно убить дырку?

Для начала установите права на .htaccess только на чтение, например 444 или 555

Это защитит этот файл от его удаления или перезаписи.

Потом ищите дыру в движке, которая позволяет внедрять такой код, который удаляет .htaccess

У вас какая версия DLE?

9.4

вот как найти эти дыры?))

это полномочия равносильные доступу по FTP

смените пароли

или стучите хостеру/администратору, может уровень доступа выше