• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.     Помогите модератору этого раздела killoff лично.

Помощь Влом БД DLE 9.0 или уязвимость?

D

davy

Участник
Регистрация
19 Июл 2009
Сообщения
163
Реакции
9
Доброго времени суток!

Есть сайт на DLE 9.0 нуленый от MID. Работает уже года два. Устанавливал официальные заплатки. Недавно яндекс нашел на сайте вредоносный код. Начал искать как его удалить, нашел. В базе данных в таблице post в каждое поле короткой и полной записи в вперемешку с основым текстом были вставлены скрипты, обращающиеся к сайту kjdsfgjkdsfiki.ru. Восстановил базу, сменил все пароли (хостинг, админка, фтп и база) проверил файлы сайта и антивирусом.

Но через день строчки кода опять начали появляться. Причем такое ощущение, что они постоянно добавляются - сначала их штуки две-три, а потом разрастаются настолько, что сайт еле-еле грузится.

Кто-нибудь сталкивался с таким? Подскажите, что делать?
 
пароли в фтп не храни. и поищи трояна в компе.
 
уязвимость в скрипте заливки картинок исправлял ??

там недостаточная фильтрация

можно типа залить не только картинку а и php файл а потом скачать его как свой собственный

таким образом можно получить содержимое файла конфига mysql
 
Компьютер сканировал и штатным антивирусом и свежими сканерами от касперского и доктор вэба - ничего обнаружено не было. По поводу паролей Вы, наверное, правы. Но там еще с десяток сайтов на дле есть с паролями - на них проблем не наблюдается.
 
o_nix написал(а):
уязвимость в скрипте заливки картинок исправлял ??

там недостаточная фильтрация

можно типа залить не только картинку а и php файл а потом скачать его как свой собственный

таким образом можно получить содержимое файла конфига mysql
Нажмите для раскрытия...

Да, эту заплатку ставил.
 
Тогда может стоит версию DLE обновить и еще раз для верности сменить ВСЕ пароли
У меня только старые версии двига и без заплаток так ломали
 
вариантов множество. посмотри как соседи на IP себя чувствуют. просканируй сайт на опасные функции - может найдёшь бэкдор или шелл.
 
Да, если другого решения не найдется, видимо, придется обновиться..
<-------------- добавлено через 59 сек. -------------->
dmx написал(а):
вариантов множество. посмотри как соседи на IP себя чувствуют. просканируй сайт на опасные функции - может найдёшь бэкдор или шелл.
Нажмите для раскрытия...

Соседи нормально чувствуют. А как сканировать на опасные функции? Проверял файлы сайта только антивирусами...
 
заюзай айболит , я пользуюсь php nullifer.
 
Проверил обеими программами - все чисто. Хотя в айболите многие файлы попали в подозрительные.

На соседнем сайте айболит нашел длинный зашифрованный файл: /engine/inc/include/init.php

Очень странная у него структура в одну строчку. Гляньте, кто в теме - все ли с ним в порядке. На том сайте дле 9.4 стоит чистая.
 

Вложения

  • init.txt
    16,1 KB · Просмотры: 7
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху