[rusol]

Пасиб,все сделаю.А что такое Мидтиам?

[miraida]

Сообщение от rusol А что такое Мидтиам?

M.I.D-Team - делает нули без вредоносных скрытых кодов и файлов.
адрес: mid-team ws
вставить точку вместо пробела

[miraida]

С 1 сентября по сегодня вновь идет тупой брутфорс на многих хостингах с попыткой подобрать пароль в админку ДЛЕ. Диапазон ип с которых атакуют довольно широкий.
Так же брутят вордпресс и джумлу.

Всем длешникам рекомендовано обновится на 10. Установить "попытку ошибочного входа" = 1. Если есть выделенный ип адрес - установить его в профиле - тем самым ограничив вход с любого другого ип.
Не использовать ники admin и administrator.
Так же можно сменить название admin.php на другое.

[AgentMulder]

Обнаружил у себя на сайте странный редирект на левый сайт.

Редирект срабатывает только для сторонних пользователей. Если человек уже зарегистрирован, то переходов не наблюдается.

Покопался в базе, сделал откат на два месяца назад. И увидел вот такие изменения в коде.

1. Старая база. Все нормально, редиректа нет.

2. Наши дни. Есть редирект.

То есть в строке 190 есть странный скрипт, а потом уже "Общие правила поведения на сайте...." То есть дальше все нормально.

Помогите убрать этот скрипт. В каком шаблоне его искать.

Сайт на движке ДЛЕ.

[miraida]

Шаблона для страницы правил не существует. Страница генерируется скриптом как обычная статистическая страница. Оформление берется из файла stats.tpl
Вы можете его проверить, но думается ничего там не найдете.
Где то на сайте сидит шел который и подгружает в указанную страницу скрипт.
Естественно сайт ваш ломанули. Каким образом не знаю.
Может, украли у вас фтп пас - вероятней всего.
А может, на серваке дыра и тудой прошли - тут надо хостера пинать.
В любом случае срочно меняем все пароли везде на более сложные. Не пользуемся фтп на сайте. Обновляем двигло до последней версии, но не поверху.
Копируем файлы конфигурашки к себе, сливаем шаблон к себе. Полностью сносим движок и ставим новые файлы из дистрибутива. Возвращаем шаб и конфигурашку, предварительно проверив их на сторонний код и файлы.
Можете так же сохранить папку аплоад если она не пустая. Тогда придется ее хорошо проверить на наличие шела.

Как то так примерно.

[AgentMulder]

Вы можете его проверить, но думается ничего там не найдете. - Так и есть. Не нашлось ничего

Где то на сайте сидит шел который и подгружает в указанную страницу скрипт. Тоже верно, но где?

В любом случае срочно меняем все пароли везде на более сложные. - Сменил

Обновляем двигло до последней версии, но не поверху. Копируем файлы конфигурашки к себе, сливаем шаблон к себе. Полностью сносим движок и ставим новые файлы из дистрибутива. - Перезалил двигло. Шела нету.

Возвращаем шаб и конфигурашку, предварительно проверив их на сторонний код и файлы. - Когда поставил старую базу данных он снова появился.

Значить шел сидит в базе данных. Вот теперь новая задачка - как его там найти?

[miraida]

Шел это исполняемый файл.
Вам по ходу сделали скул инъекцию в базу.
Если появляется на статик страницах то и ищите в базе таблицу отвечающую за статик страницы - проверьте её.


Проверьте текст страницы правил и титл страницы в базе, код вставлен или после титла или в начале текста.

Вы провели обновление движка до 10?

[AgentMulder]

Вы провели обновление движка до 10?

Нет не проводил, так как из опыта знаю, что при переходе с одной версии на другую шаблон может стать криво. Поскольку свой шаблон я брал именно для версии 9,8 за 15 зеленых, то хотелось бы остаться на версии 9,8.

Сперва покопаюсь в базе, ну а ради интереса может и 10 версию поставлю, когда этот шел найду.

[miraida]

Шаблон от 98 пойдет на 10.
Криво не будет. Обновитесь.
В 10 исправлены ошибки и уязвимости.

[AgentMulder]

Проверьте текст страницы правил и титл страницы в базе, код вставлен или после титла или в начале текста.

Похоже вы попали в точку. На статик странице правил видно этот код. Ну я тоже возле него крутился, базу проверял перед тем как здесь писать, но не заметил сразу.

Вот фрагмент базы данных.