radiobui

Рейтинг
15
Регистрация
20.03.2009
Сайт атакует вирус. Дистрибутив DLE initme.php
Осипова Ирина Владимировн:
Что тут показывать, после очередной заливки, решила запустить шел в браузере, обратившись к сайту с путем, где находится php с шеллом, я была в шоке. Через менеджер файлов по фтп, нет таких возможностей, как в этом шеле, спокойно гуляешь по всем сайтам на хостинге - к сожалению выйти нельзя, выше своего аккаунта. Можно менять права на папки, заливать и удалять файлы, а также редактируешь, что хочешь, в целом этот шел супер!

Вопрос остается открытым как шелл попадает на сайт? может через login.tpl, может через ftp, может через uploads, может через sql. Логи дают такую скудную информацию, что понять, что юзает злобный хакер, остается только догадываться. На сайтах на которых перестал появляться шел, логи обращения хакера появляются, хотя команда POST и проходит, но не один файл на хостинге не-меняется. Победа это или поражение покажет время!

Ирина, скажите, пожалуйста, удалось ли вылечить этот вирус и если да, то как?

Сайт атакует вирус. Дистрибутив DLE initme.php
site.ru 91.79.75.127 - - [12/Mar/2011:10:47:26 +0300] "POST / HTTP/1.0" 200 62668 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.75.127 - - [12/Mar/2011:10:47:29 +0300] "POST / HTTP/1.0" 200 28 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.75.127 - - [12/Mar/2011:10:47:29 +0300] "POST / HTTP/1.0" 200 55362 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"

Ну это показывает что злоумышленник пытался открыть главную страницу. В этом ничего плохого нет.

Сайт атакует вирус. Дистрибутив DLE initme.php

Да, действительно не на всех сайтах помогает((

Ирина отпишитесь, пожалуйста, когда найдете проблему. Я тоже буду её искать.

Сайт атакует вирус. Дистрибутив DLE initme.php

У многих сейчас такая проблема.

Важно делать следующее:

1. Залатать дыры в дле

http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

2. Проверить в группе Администраторы не появилось ли нового админа. Если появился удалите его перенеся сначала в Гости и потом полностью удалив.

3. Обычно этот вирус заражает файлы в папке engine->cache->system

информерс, релейтед и фанкшн. Надо их удалить

4. В папке uploads часто появляется файл htaccess.php или mysql.php надо их удалить.

5. В папке templates или uploads может появится новая папка со страницами злоумышненика. Обычно это рекламные страницы. Естественно удаляем

6. В папке engine появляется новый файл initme.php надо его удалить. Не забудте что файл из корневой папки index.php содержит ссылку на этот файл. Поэтому поредактируйте файл index.php а то сайт работать не будет

7. Почистите основной шаблон сайта от тегов, которые могли вставить вирусы. Обычно это div теги, которые находятся вне зоны видимости экрана.

Обычно заражен файл templates->Имя вашего шаблона->main.tpl

Кроме того в шаблоне может появится новый тег {lb}. Этот тег тоже лучше удалить.

8. Советую также в настройках групп пользователей в админке для всех групп пользователей запретить загрузку файлов на сайт.

Лечитесь. У меня тоже много сайтов позаражалось.

Key Collector - автоматизированная система анализа семантического ядра. Часть 3.

Пользуюсь Вашей великолепной программой. Все отлично работает. Спасибо.

Просьба - могли бы вы добавить в пасинг часотностей Yandex Wordstat еще и проверку просто ! (перед каждым словом восклицательный знак).

Иногда проверки "!" и "" не достаточно.

radiobui добавил 05.03.2011 в 09:53

Или даже лучше разрешить добавлять (через ручное добавление) в Кей Коллектор фраз со знаками " и !

Это дало бы возможность проверять такие запросы:

!быстрее купить слона

!бысто купить слона

Аукцион. Мобильный сайт на продажу mobcity.info

Купил у человека 2 сайта. Очень приятно иметь дело и все прошло ровно.