Массовый взлом DLE сайтов от 13.01.2013

Горбушка · 14 Янв 2013

Doctor_zlo написал(а):
Там вовсю обсуждается кстати
Для просмотра ссылки Войди или Зарегистрируйся

Удивляет только реакция целки - поставьте патчи и всё будет нормально... А что ломали и патченные не интересно... Первого вообще отругал за отсутсвие ссылки на сайт...

асс · 14 Янв 2013

Сломали одну 9.5 версия. 9.6 7.5 7.2 целы.
Остальные пока целы
Хотя сервак где сломали там стоит порядка 20 дле.

Так что это не пароли, это Дырище в скрипте.

Другие движки целы.. Ломают на автомате, потому как слишком массово все это.

Щас проверил еще другой хостинг тоже нашел в одном скрипте, хотя в папке www 10 сайтов дле лежит.
9.7 помоему версия

Добавлено Горбушка: даблпост

Doctor_Chaos · 14 Янв 2013

Прописывается какашка в основной домен на хостинге, я прав? Остальные все в норме, не тронутые остаются.

асс · 14 Янв 2013

Doctor написал(а):
Прописывается какашка в основной домен на хостинге, я прав? Остальные все в норме, не тронутые остаются.

Doctor, Там где разрешена регистрация юзеров, там и взломали.

Из 30 тольк 2 взлома. Я почему то уверен что взлом из админик идет, юзер герается и ломает, вопрос как.

Почему я уверен. у меня в папке www 10 Длешек стоит из них одна червивая была.

Doctor_Chaos · 14 Янв 2013

Я, по-моему, вопрос другой задал - был ли ломанный сайт основным в аккаунте?

efs · 14 Янв 2013

Doctor написал(а):
Кхм... Вообщето, данные изменения вносятся не через уязвимость дле, т.к. никакая уязвимость типа sqlinj не дает доступа к изменениям файлов на сервере, максимум могли бы насрать в шаблоне, а данную херь прописывает трой, получивший доступ к фтп. Он ищет файлы по маске и прописывает эту дрянь. Файл хтацес тоже загаживает, кстати. Так что с уверенностью до 99% могу сказать, что счастливчики пользуются такими говноантивирусами как аваст, нортон или вообще не пользуются. Хотя могу, конечно и ошибаться, поэтому на ошибку и оставил 1%

у меня ftp потушено, так что не по фтп заглядывали + стоит отслеживание изменение файлов по нескольким параметрам, в том числе и появление новых и шелл не вливался 100%, просто в один момент в двух файлах появилось это "добро" и все. логирование к сожалению было потушено, так что даже не могу посмотреть как и куда ломились. сейчас включил логирование, если "гости" загляну еще раз, будет известно как патчат.

Doctor_Chaos · 14 Янв 2013

efs написал(а):
у меня ftp потушено, так что не по фтп заглядывали + стоит отслеживание изменение файлов по нескольким параметрам, в том числе и появление новых и шелл не вливался 100%, просто в один момент в двух файлах появилось это "добро" и все. логирование к сожалению было потушено, так что даже не могу посмотреть как и куда ломились. сейчас включил логирование, если "гости" загляну еще раз, будет известно как патчат.

Ssh тоже не включен?

efs · 14 Янв 2013

Doctor написал(а):
Ssh тоже не включен?

ssh пашет, вход под рутом отключен,

Doctor_Chaos · 14 Янв 2013

efs написал(а):
ssh пашет, вход под рутом отключен,

А под юзером?

efs · 14 Янв 2013

Doctor написал(а):
А под юзером?

под юзверем можно. ведете к тому, что по ssh лазили?

Массовый взлом DLE сайтов от 13.01.2013

Горбушка

Ищу её...

асс

Мой дом здесь!

Doctor_Chaos

Проктолог-гинеколог

асс

Мой дом здесь!

Doctor_Chaos

Проктолог-гинеколог

efs

SEO оптимизатор дискрипторов одностраничных сайтов

Doctor_Chaos

Проктолог-гинеколог

efs

SEO оптимизатор дискрипторов одностраничных сайтов

Doctor_Chaos

Проктолог-гинеколог

efs

SEO оптимизатор дискрипторов одностраничных сайтов