Массовый взлом DLE сайтов от 13.01.2013

Так вот и объясни нам, тупым людям, какой файл в ДЛЕ делает инклуд твоей картинки... Ошибка ж не в том, что картинка заливается, а что её заинклудить можно! Ведь заинклудить можно будет не только эту картинку - а любой файл, а это уже очень серьёзная уязвимость. А что картинку с кодом залил - это как вирус на linux... Место жрёт, а сделать ничего не может...

В шаблонах пхп быть не может - отпадает, в папке с загрузками пхп тоже отключена, следовательно include должен делаться из какой-то другой папки, а именно - корня или папки engine. Вот и ткни пальцем в файл, который это делает, ибо ни одни человек, кроме тебя, таких файлов в ДЛЕ не знает... А занести из вне его нельзя. (левые модули, сборки, архивы с шелами не в счёт, мы о лицензии говорим)

P.s. я не отрицаю, что возможность такой загрузки - не хорошо, но причинить вред ни одним известным способом оно не может...
 
  • Заблокирован
  • #95
kastahhls написал(а):
Да уж, у меня тоже такой вирус был. Но только еще летом 2012 года. Я месяц не мог его вылечить. Только удалю через 2 дня опять такое же. Но через некоторое время перестало.
Нажмите для раскрытия...
Надо просить, что бы хостер очистил полностью хостинг. Вирус сам сидит в скрытых файлах. Смена движка и смена паролей тут не поможет. Только чистка хостинга при помощи хостера.
 
VIP2013 написал(а):
Надо просить, что бы хостер очистил полностью хостинг. Вирус сам сидит в скрытых файлах. Смена движка и смена паролей тут не поможет. Только чистка хостинга при помощи хостера.
Нажмите для раскрытия...
Может надо меньше пользоваться виндой? о_О На Linux нет скрытых файлов... Там система прав доступа chmod... И если файл принадлежит юзеру, он его видет всегда, а если не принадлежит - его файлы править не может (при правах 700). И на Linux НЕТ вирусов... Есть вредоностные скрипты, которые просто удаляются из крона или include и всё...
 
  • Заблокирован
  • #97
Горбушка написал(а):
Может надо меньше пользоваться виндой? о_О На Linux нет скрытых файлов... Там система прав доступа chmod... И если файл принадлежит юзеру, он его видет всегда, а если не принадлежит - его файлы править не может (при правах 700). И на Linux НЕТ вирусов... Есть вредоностные скрипты, которые просто удаляются из крона или include и всё...
Нажмите для раскрытия...
Мне так ответил хостер, что необходимо удалять при помощи команды от хостера. После полного форматирования именно от лица хостера проблема ушла сама собой. А так мучился почти 3 недели.
 
VIP2013 написал(а):
Мне так ответил хостер, что необходимо удалять при помощи команды от хостера. После полного форматирования именно от лица хостера проблема ушла сама собой. А так мучился почти 3 недели.
Нажмите для раскрытия...
Значит такой квалифицированный хостер... Проблема была либо в кроне, либо в слитых паролях, либо в чём-то таком... Ты ж вернул потом все файлы на место, а значит, и "вирус"...
 
У меня ломанули уже второй сайт, теперь уже 9.8 от MID, если интересно могу выложить лог но там 20 файлов, это до того момента как яша нашел вирус
беглым взглядом пробежал лог
93.123.252.77 - - [06/Mar/2013:23:16:29 +0400] "GET /admin.php HTTP/1.1" 404 2275 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
93.123.252.77 - - [06/Mar/2013:23:16:30 +0400] "GET /administrator/index.php HTTP/1.1" 404 2289 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
93.123.252.77 - - [06/Mar/2013:23:16:31 +0400] "GET /wp-login.php HTTP/1.1" 404 2278 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

Search "admin.php" (1061 hits in 14 files)

D:\html\03\access_03.log (516 hits)
Line 5941: 88.247.36.243 - - [03/Mar/2013:20:37:22 +0400] "GET /admin.php HTTP/1.1" 200 2334 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
Line 6346: 178.78.50.78 - - [03/Mar/2013:21:46:08 +0400] "GET /admin.php HTTP/1.1" 200 2334 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Line 6347: 178.78.50.78 - - [03/Mar/2013:21:46:08 +0400] "GET /admin.php HTTP/1.1" 200 2391 "self" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Line 6348: 178.78.50.78 - - [03/Mar/2013:21:46:08 +0400] "GET /admin.php HTTP/1.1" 200 2391 "self" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Line 6349: 178.78.50.78 - - [03/Mar/2013:21:46:08 +0400] "GET /admin.php HTTP/1.1" 200 2391 "self" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"

и тд
 
Kupers написал(а):
У меня ломанули уже второй сайт, теперь уже 9.8 от MID, если интересно могу выложить лог но там 20 файлов, это до того момента как яша нашел вирус
беглым взглядом пробежал лог
Нажмите для раскрытия...
Ваш лог ни о чем не говорит.
Подобных "попыток" взлома происходит несколько десятков-сотен в день.
Дайте ссылку на полные логи(на архив).
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху