Помощь Влом БД DLE 9.0 или уязвимость?

Тема в разделе "DLE", создана пользователем davy, 29 ноя 2012.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. davy

    davy

    Регистр.:
    19 июл 2009
    Сообщения:
    162
    Симпатии:
    9
    Доброго времени суток!

    Есть сайт на DLE 9.0 нуленый от MID. Работает уже года два. Устанавливал официальные заплатки. Недавно яндекс нашел на сайте вредоносный код. Начал искать как его удалить, нашел. В базе данных в таблице post в каждое поле короткой и полной записи в вперемешку с основым текстом были вставлены скрипты, обращающиеся к сайту kjdsfgjkdsfiki.ru. Восстановил базу, сменил все пароли (хостинг, админка, фтп и база) проверил файлы сайта и антивирусом.

    Но через день строчки кода опять начали появляться. Причем такое ощущение, что они постоянно добавляются - сначала их штуки две-три, а потом разрастаются настолько, что сайт еле-еле грузится.

    Кто-нибудь сталкивался с таким? Подскажите, что делать?
     
  2. dmx

    dmx

    Регистр.:
    22 июн 2011
    Сообщения:
    663
    Симпатии:
    527
    пароли в фтп не храни. и поищи трояна в компе.
     
  3. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    уязвимость в скрипте заливки картинок исправлял ??

    там недостаточная фильтрация

    можно типа залить не только картинку а и php файл а потом скачать его как свой собственный

    таким образом можно получить содержимое файла конфига mysql
     
  4. davy

    davy

    Регистр.:
    19 июл 2009
    Сообщения:
    162
    Симпатии:
    9
    Компьютер сканировал и штатным антивирусом и свежими сканерами от касперского и доктор вэба - ничего обнаружено не было. По поводу паролей Вы, наверное, правы. Но там еще с десяток сайтов на дле есть с паролями - на них проблем не наблюдается.
     
  5. davy

    davy

    Регистр.:
    19 июл 2009
    Сообщения:
    162
    Симпатии:
    9
    Да, эту заплатку ставил.
     
  6. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Тогда может стоит версию DLE обновить и еще раз для верности сменить ВСЕ пароли
    У меня только старые версии двига и без заплаток так ломали
     
  7. dmx

    dmx

    Регистр.:
    22 июн 2011
    Сообщения:
    663
    Симпатии:
    527
    вариантов множество. посмотри как соседи на IP себя чувствуют. просканируй сайт на опасные функции - может найдёшь бэкдор или шелл.
     
  8. davy

    davy

    Регистр.:
    19 июл 2009
    Сообщения:
    162
    Симпатии:
    9
    Да, если другого решения не найдется, видимо, придется обновиться..
    <-------------- добавлено через 59 сек. -------------->
    Соседи нормально чувствуют. А как сканировать на опасные функции? Проверял файлы сайта только антивирусами...
     
  9. dmx

    dmx

    Регистр.:
    22 июн 2011
    Сообщения:
    663
    Симпатии:
    527
    заюзай айболит , я пользуюсь php nullifer.
     
  10. davy

    davy

    Регистр.:
    19 июл 2009
    Сообщения:
    162
    Симпатии:
    9
    Проверил обеими программами - все чисто. Хотя в айболите многие файлы попали в подозрительные.

    На соседнем сайте айболит нашел длинный зашифрованный файл: /engine/inc/include/init.php

    Очень странная у него структура в одну строчку. Гляньте, кто в теме - все ли с ним в порядке. На том сайте дле 9.4 стоит чистая.
     

    Вложения:

    • init.txt
      Размер файла:
      16,1 КБ
      Просмотров:
      7