- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сайт атакует вирус. Дистрибутив DLE лицензионный. В папке engine появляется файл initme.php, затем в main.tpl появляется {lb}, в system cach -> related.php, function.php. Как я поняла, этот шел позволяет продавать ссылки на сайте. Удаляю этот код, через час опять все заново появляется. Пароли меняю, права на папки ставлю, все равно все по новому. Подскажите как с этим бороться?
Шелл надо искать или дырку. А так смена паролей непоможет. Просканте антивирусом тогда каталоги сайта папки в cpanel встроенным.
Однозначно надежный вариант 1 - установить CMS с нуля (перед этим снести ВСЕ с хостинга) и залить после этого базу (сбекапированную ранее, конечно).
Попробуйте доктор Вебом онлайн просканить сайт, может выявит шел...
Шелл надо искать или дырку. А так смена паролей непоможет. Просканте антивирусом тогда каталоги сайта папки в cpanel встроенным.
В DLE есть встроенный антивирус, им сканировала сайт, он обнаружил все, что описала выше, кроме того был залитый в папку uploads файл 1.htaccess.php. Все что было обнаружено, удалила. Также включила в админки запрет на закачку файлов и добавление новостей. На папку Uploads поставила права запрет на запись. Но вирус пошел дальше, после принятых мной мерб он спокойно записал себя в папку backup и по новому активировался, исправив права на папку uploads и другие папки. Сайт находиться на хостинге timeweb, там нету панели cpanel и возможности проверять на вирусы. Заплатки с официального сайта DLE были установлены на сайт, но это не-помогает.
Осипова Ирина Владимировн добавил 08.03.2011 в 14:33
Однозначно надежный вариант 1 - установить CMS с нуля (перед этим снести ВСЕ с хостинга) и залить после этого базу (сбекапированную ранее, конечно).
Копировала все файлы движка с нуля, кроме папки uploads и базы sql, это не-помогло. Папки uploads проверила каждый файл, только картинки, подозрительных файлов не-обнаружила.
Если все заливалось именно С НУЛЯ, а не методом замены, и это не помогает то тут причина может быть только одна - тянут (воруют) пароли. Или комп протроянен, или антивиря с фаерволом нет, или в фтп пароли сохранены...а может все вместе - букетом :).
Кстати не лукавство ли это про лицензию ДЛЕ?
Стучите поможем
"Современные" школьники успешно успешно вносят изменения в антивирус ДЛЕ. Сливать все себе на комп и очень пристано анализировать, как поиском так вручную.
Если все заливалось именно С НУЛЯ, а не методом замены, и это не помогает то тут причина может быть только одна - тянут (воруют) пароли. Или комп протроянен, или антивиря с фаерволом нет, или в фтп пароли сохранены...а может все вместе - букетом :).
Кстати не лукавство ли это про лицензию ДЛЕ?
Методом замены, заливала движок. В интернете находила, проблема такая была не только у меня, но ответа так и не нашли, по крайне мере на форуме ответа не-было откуда руки растут и где именно баг в движке. Установлен 7.5 DLE лицензионный, все фиксы которые были описаны на официальном сайте dle-news установлены.
Установлен мощный антивирус и фаервол, все программное обеспечение лицензионное.
Осипова Ирина Владимировн добавил 08.03.2011 в 15:04
"Современные" школьники успешно успешно вносят изменения в антивирус ДЛЕ. Сливать все себе на комп и очень пристано анализировать, как поиском так вручную.
Я проверяла все файлы движка методом сравнения, также проверила все папки движка, лишних файлов не обнаружила. Исключение составили папки uploads, так как там уже загружены картинки, и сравнить с оригинальным дистрибутивом не-представляется возможным.
в папке uploads ищите картинку с расширением php tpl и подобных. Возможно там шелл.
Установлен 7.5 DLE лицензионный мог давно кто-то приват дырку найти и долбить.
по-этому DLE советую новую установить 9.0-9.2.
да и про антивирус я имелл ввиду от хостинга в cpanel
Установлен мощный антивирус и фаервол, все программное обеспечение лицензионное.
вирус платный если смена сигнатуры на ходу врятли обнаружат редко)
огранич по ипу неспасет по фтп и тд.
Лог попадание и активации вируса, может кому будет полезно, смотрите ниже. Я так и непоняла, как он так легко обходит защиту htaccess где я включила запрет на выполнения php файлов. В частности включила, в папке uploads и templates
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/htaccess.php HTTP/1.0" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:04 +0300] "POST / HTTP/1.0" 200 59951 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:06 +0300] "POST / HTTP/1.0" 200 28 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:07 +0300] "POST / HTTP/1.0" 200 49217 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:21 +0300] "GET /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:21 +0300] "GET /favicon.ico HTTP/1.0" 404 205 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:24 +0300] "GET /favicon.ico HTTP/1.0" 404 205 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:26 +0300] "GET /templates/1.php HTTP/1.0" 404 209 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:29 +0300] "GET /backup/1.php HTTP/1.0" 500 526 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:37 +0300] "POST / HTTP/1.0" 200 32 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:40 +0300] "GET /templates/1.php HTTP/1.0" 200 4123 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:43 +0300] "POST /templates/1.php HTTP/1.0" 200 4273 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:55 +0300] "POST /templates/1.php HTTP/1.0" 200 2995 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:58 +0300] "POST /templates/1.php HTTP/1.0" 200 4264 "http://site.ru/templates/1.php" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; ru; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:09 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /uploads/htaccess.php HTTP/1.0" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:10 +0300] "POST / HTTP/1.0" 200 59951 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:12 +0300] "POST / HTTP/1.0" 200 132 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:13 +0300] "POST / HTTP/1.0" 200 9050 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:13 +0300] "POST / HTTP/1.0" 200 16 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
site.ru 91.79.88.160 - - [08/Mar/2011:19:42:41 +0300] "GET / HTTP/1.0" 200 49326 "-" "-"