Могли залить шел под пользователем а потом запусить брут и если пароль рута слабый сбрутить его, поэтому проверяйте логи ftp, ssh, панели и phpmyadmin, пароль рута мог уйти только с них.
То что залили от рутовского пользователя очень плохой звоночек, или у вас дырявый скрипт работает под рутом, что маловероятно или ушли пароли рута налево (вирусы на компе или брут ftp/ssh)
Если сайт один то менять пароли и закрывать от записи все лишние папки и скрипты. Насчет дыр DLE, я не подскажу, давно не пользуюсь этой цмс, очень часто ломали особенно старые версии, эпический баг 8.2 который при востановлении пароля не проверял хеш высланый в письме до сих пор забыть не могу, поэтому нечего посоветовать не могу, единственное что если есть еще сайты на сервере то стоит проверить и их и отключить phpmyadmin либо сменить его адрес, он тоже может быть уязвим.
Могу заявить со 100% увереностью в SED есть бекдор, ну если это не бекдор то автор полный быдлокодер.
Бекдор находится в утилите dashboard.php, не зря она зашифрована. И пусть автор не говорит что достаточно переименовать папку, вовсе не достаточна, поможет только полное удаление файла dashboard.php, и заливке обратно если он опять нужен.
А теперь я раскажу как зайти в dashboard.php без пароля -
В коде есть проверка на пароль, казалось бы зайти нельзя, но... После правильного ввода пароля скрипт ставит куку password которую потом проверят только на ее наличие, далее достаточно в опере например открыть кукисы, найти куку с этого сайта инициализации сесии и переименовать ее на pаssword, далее сохранить и нажать f5, все мы в настройках скрипта.
Самое интересное что в предыдущей версии когда вход был по емайлу , авторизация хранилась в сессии php и войти можно было только по емайлу, который выдавал нам скрипт по iwantgetyouremail
Мне вот до сих пор интересно, зачем была ослаблена безопасность? Специально?
Теперь о самой большой дыре в доргене - запись в файл config.php происходит без проверки авторизации и проверки того что ввел пользователь, что позволяет провести php иньекцию...
С паролем конечно удобнее, но можно и без, составив правильно post запрос, если не верите мне впешите в поле ключевого слова в конец -
"); echo (" Меня взломали
И если ваш сервер уязвим то вы увидите при входе на дорвей этот текст
А теперь о том как автор скрипта может узнать где лежит dashboard.php
Там везде кнопки с вопросиками, нажимая на ее вы переходите на сайт автора с подсказками в настройках скрипта, передая при этом реферер, автору достаточно собирать эти адреса и что он будет делать с этими адресами история умалчивает...
Конечно, немного подумав я могу предположить что автор хотел таким способом наказывать тех кто слил скрипт налево и тех кто пользуется нелицензиоными доргенами, залить им вирусов на сайт или шелов, но мне кажется это уже через чур.
Сейчас опять в меня полетят помидоры, и минуса, но правда дороже.
Код видел здесь -
http://garsuk.ru/forum/index.php?/topic/34-%d0%b4%d0%be%d1%80%d0%b3%d0%b5%d0%bd-sed-v321-%d0%b8-sedv341/page__view__findpost__p__1289
Если для вас странно что ктото задает вам вопросы о целях бекдоров то мне вас жаль.
Что бы ваши клиенты побеспокоились о безопасности, раз вы делаете такие дыры...
Молодец, 5 балов, осталось только добавить что этим бекдором мог воспользоваться любой грамотный ваш клиент, немного покопавшись в коде, им вы тоже доверяеете ftp доступы и root ssh?
Я вот только что полазил по гуглу в поисках новых доров на сед, version почемуто осталось... так что вы убрали только емайл, котрый уже не является паролем... Так что это далеко не домыслы. И если все так прозрачно, может кто скинет мне индекс.пхп, но только не вы, так как вы мне скините кристально чисты, мне нужен вчерашний, версии 3.4.8.1
Там кроме base64 еще обфускация, которую так просто не обойдешь, но вам неверное не понятно о чем я если ее не увидели. И если все так просто почему этот вопрос до меня не кто не поднимал?---------- Добавлено 14.11.2012 в 18:39 ----------можете не отвечать вопрос чисто риторический, смысла дальше продолжать нету.
В отличии от вас, мне достточно глазом взглянуть на код чтобы понять что этой кострукции там не должно быть, может вы еще скажете что этот код я туда внес а не автор? Где я видел я показал, а вы отите верьте хотите нет. Мне вот интересно какой такой контроль понадобился автору чтобы узнавать емайлы и версии?
Ага а код сам туда попал 🤪 Ну жгите дальше...
Кроме того перебирать даже сотню муторно, а так раз и в дамки
А вы уверены что там нету чтото типа такого iwantgetyourpassword?
Да ну нах, я и за бесплатно таким пользватся не буду, я себе сам напишу то что подходит мне, где я буду уверен что такого говна не будет.
Все удаляюсь не буду больше мешать вашему бизнесу, лишь дам совет - код должен быть открытым что бы таких вопросов и тем не возникало.
не знаю, я не видел код, мне сказали что закодирован индекс дашборд и чекер, если где и ошибся то уж извените
Потому что не решил покупать продукт в который автор без зазрения совести вешает бекдоры. Да и производительность пугает, впервые вижу чтобы для десятка дорвеев нужен был сервер, как будто у нас тут портал на жумле.
Хорошая идентификация, если это был не бекдор, то я наверное дед мороз... Но бог вам судья, люди сами решат бекдор это и ли нет. У меня нету новой версии скрипта, что бы проверить наличие или отсутствие их там, да и желания нету...
Да достаточно вставить в код скрытую картинку на внешнем сервере, чтобы по реферу узнать где лежит эта папка, конечено это не разу не бекдор, как я узнавал у пользователей, эта утилита почемуто тоже закодирована, в отличии от остальных, и чекер закодирован почемуто, а в остальном все прозрачно ...
Я тоже думал купить sed, пока не увидел случайно этот топик -
http://garsuk.ru/forum/index.php?/topic/34-%d0%b4%d0%be%d1%80%d0%b3%d0%b5%d0%bd-sed-v321-%d0%b8-sedv341/page__st__40
что скажет автор по поводу этих строк? -
case 'version':
exit($_02b353b791f7a81a41670db246b6cd6d85a65fb8->GetVersion());
break;
case 'iwantgetyouremail':
exit(EMAIL);
Если не поняли, то дописав любому дорвею на сед в конец адреса version получите его версию а если iwantgetyouremail то емайл на который зареген скрипт, который является паролем на вход в скрипт настрйки конфига...
А сколько еще бекдоров в коде скрипта, автор не раскажет?
это попробуйте -
/ru/forum/707624
Скорее всего вам залили шел, этот скрипт поможет найти его.---------- Добавлено 13.11.2012 в 19:19 ----------а мобильный редирект как правило в .htaccess в корне сайта, но если редирект убрать и не удалить шел то его зальют снова. Кстати если удалите шел и не уберете дырки на сайте то шел могут залить снова.