Я так понимаю, что у товарища, что взломал пол-рунета и сливает трафф на мобильные ПП есть некий скрипт, или софт самописный.. который выполняет ряд нехитрых одинаковых действий на DLE. создает пользователя. заливает шелл.. редактирует файлы - удаляет себя из СУБД --??? Profit. Только деньги считать остается на статистике пользователей с "обновленными" браузерами.
Ищет я так понимаю он DLE 9.7 как-то через гугл. и данный список грузит софту..
Давайте представим.. 200к найденных сайтов... отданных софту.. 190к пробив.. это же сколько трафика злой гений имеет.---------- Post added 25-03-2013 at 02:48 ----------
Эта ссылка НЕ закрывает эту уязвимостью
KySoK
У меня пользователь был другой. hich пробел Accipse вот такой. и лог был users/hichAccipse/index.php
Я повторюсь, меня заботит как он удалил себя с сайта, т.е. ну зарегался.. ну залил шелл.. неужели так все "продуманно", что удалился потом из списка юзеров ( и из базы ) после заливки? Почему боюсь.. что бы хвостов не оставить никаких.
айпишка принадлежала московской корбине.
Не закрывал. Я пока ограничился удалением зловреда, сменой доступов массового назначения, в настройках ДЛЕ максимально зарег. юзеров везде выставил на 1. дабы регистрация была физически не возможна. Завтра начну трансфер на 9.8 ( но что бы с 9.7 перейти.. надо еще таблицы сравнить, а беглый compare дал понять, что они отличаются в основном varchar ).
Ни кто не мигрировал безболезненно с 9.7 до 9.8 ? А далее на 9.8 попробовать повторить тот же трюк, что и 9.7..
Это понять, что есть из списка взломанных и сайт с лицензионной ДЛЕ. :(
Вообщем из 30 DLE'шек зловредом успели окрестить 2.
Друзья, ну не нуб совсем я.
Есть ли лиценз - сейчас так же увидел, что взломан.
По ходу дела гуглили как-то по всем DLE и что есть в выдаче по ВЧ - загружали шелы через аватар и правили файлы.. только на столько массово.. думается мне, что скрипт какой-то это. Однако про файлик в папке из первого поста я ничего не нашел. Наверное это хацкер себе бекдорик оставил ( так как у меня есть траффф).
Нуллед только с офф. сайта mid-team. У меня не было с ним проблем на нуленых версиях еще со времен 7.x DLE. По поводу перепаковки - шеллов.. это абсурд . Я поднял бакип от 7-го января этого файла в папке не было. Дата изменения была от 23 января ( я говорю о первом файле из поста - emot.php ) в логах я доступа, кроме как своего - там не обнаружил. А странно.
9.7 ломаются вот этим 9.8 подвержен? У кого-нибудь есть информация?
Ситуация 1 в 1.
ВОПРОС только КАК он новосозданного юзера УДАЛИЛ? Неужели настолько скурпулезно, что мол взломал - хвостов не оставлю.. и удаляет за собой..
Спасибо, я ждал того, что так и скажите. Нуллед-не нуллед .. тут уязвимость в 9.7 версии, лицензия тут не причем.
nulled. mid team. Нашел по логам подозрительную активность с одного ИП на многих проектах с ДЛЕ.
Пользователь переходил на index.php?ду-регистер ( регистрацию типа.. ) но ссылка на нее не была ни где явно указана.. и проекты не граничат в одной сфере..Более ничего подозрительного, кроме как переход на профиль пользователя/index.php которого не существует - не видел.
На всякий случай ограничил везде регистрацию.
А. ну точно. statuses_ws.. и хреновня
В коде.
Друзья, это через аватарку аплоад делалось?
Я так понимаю - да.
Только тогда вопрос дня - КАК пропал профиль пользователя? т.е. его нет в списках пользователей.
Ага. А люди тут мучаются, не могут сайт в индекс загнать неделями с уникальным контентом. Поэтому и прибегают к твитам, регистрациям в каталогах, letsindex сервисах и т.д.
Ключевое слово исключительно Ваши наблюдения.
Яндекс вообще в последнее время стал мало предсказуем. А алгоритмов ПС всех и не узнаешь. Они очень быстро меняются.
Да троль это 80 уровня. 1 пост у него.
ответил в лс.
Было 23 страницы топ1 - топ5... ( с прошлого апа попал в топ ).
В этом апе топы сняли. А в индексе осталось 4 страницы.. все, АГС? Или может еще на след. апе вернется? не за что агс блин :(
