1 Min-Z-Drav (09.03.2013 16:28 отредактировано Min-Z-Drav)

  • Min-Z-Drav
  • Бывалый!
  • Карма: 7 / 0

Тема: Вирус DLE uploads/addnews.php

Вчера кто то загрузил, файл addnews.php в папку uploads, я вчера этого не заметил, а сегодня на хостинге всплыло такое окно:

В аккаунте обнаружены файлы с вредоносным содержимым. Настоятельно рекомендуем ограничить доступ к FTP аккаунту только с используемых Вами IP-адресов, а также воспользоваться антивирусной защитой для проверки аккаунта на наличие вирусов. Ознакомьтесь со статьей Рекомендации по безопасности и защите от взлома для предотвращения повторного заражения.

Обнаружен 1 зараженный файл:
Результаты поиска вредоносных файлов:

Чаще всего наличие таких файлов свидетельствует о получении доступа к сайту злоумышленником с целью рассылки спама, осуществления атак на другие сайты и размещения фишинговых страниц. Список обнаруженных вредоносных файлов:
• /www/uploads/addnews.php

Я в непонятках, проверил список действий в админ панели - там только мой ip адрес! То есть мой аккаунт не взломали, хотя может и за того что Расширение файлов, допустимых к загрузке я дописал формат txt? Подскажите как могли взломать и как обезопаситься от этого? Если что могу скинуть этот файл с кодом!

Вот код скрипта: http://pastebin.com/mpGG0nUa

2 Hooligan (09.03.2013 18:57 отредактировано Hooligan)

  • Hooligan
  • ТоварисЧЬ!
  • Карма: 31 / 0

Re: Вирус DLE uploads/addnews.php

Min-Z-Drav пишет:

Вчера кто то загрузил, файл addnews.php в папку uploads, я вчера этого не заметил, а сегодня на хостинге всплыло такое окно:

    В аккаунте обнаружены файлы с вредоносным содержимым. Настоятельно рекомендуем ограничить доступ к FTP аккаунту только с используемых Вами IP-адресов, а также воспользоваться антивирусной защитой для проверки аккаунта на наличие вирусов. Ознакомьтесь со статьей Рекомендации по безопасности и защите от взлома для предотвращения повторного заражения.

    Обнаружен 1 зараженный файл:
    Результаты поиска вредоносных файлов:

    Чаще всего наличие таких файлов свидетельствует о получении доступа к сайту злоумышленником с целью рассылки спама, осуществления атак на другие сайты и размещения фишинговых страниц. Список обнаруженных вредоносных файлов:
    • /www/uploads/addnews.php

Я в непонятках, проверил список действий в админ панели - там только мой ip адрес! То есть мой аккаунт не взломали, хотя может и за того что Расширение файлов, допустимых к загрузке я дописал формат txt? Подскажите как могли взломать и как обезопаситься от этого? Если что могу скинуть этот файл с кодом!

Вот код скрипта: http://pastebin.com/mpGG0nUa

Для начала, проверить разрешенные для загрузки файлы на сервере, во вторых, сменить пароль фтп.
В третьих заменить все .htacess файлы из дистрибутива!
В четвертых, пристально следить за ситуацией.
Шелл могли залить банальной раскрываемостью путей на хостере, через другой сайт!
В пятых, поставить последние официальные заплатки на уязвимости движка!

3 Min-Z-Drav

  • Min-Z-Drav
  • Бывалый!
  • Карма: 7 / 0

Re: Вирус DLE uploads/addnews.php

проверил  .htacess, пароль поменял и сегодня обратно смотрю в админке пишет загрузите файл  .htacess в папку uploads

  • admin
  • АлаичЪ
  • Карма: 143 / 2

Re: Вирус DLE uploads/addnews.php

Min-Z-Drav пишет:

пишет загрузите файл .htacess в папку uploads

Это как? Он там был и вдруг пропал что ли?

5 Hooligan

  • Hooligan
  • ТоварисЧЬ!
  • Карма: 31 / 0

Re: Вирус DLE uploads/addnews.php

admin пишет:

Это как? Он там был и вдруг пропал что ли?

Ага странно, значит провтыкал!!!!

6 Min-Z-Drav

  • Min-Z-Drav
  • Бывалый!
  • Карма: 7 / 0

Re: Вирус DLE uploads/addnews.php

admin, файл .htacess переименовывается в  .htаccess поэтому он и не срабатывает! и потом они грузят шелл

  • admin
  • АлаичЪ
  • Карма: 143 / 2

Re: Вирус DLE uploads/addnews.php

Min-Z-Drav пишет:

файл .htacess переименовывается в  .htаccess поэтому он и не срабатывает!

Ну, если че, то правильно будет именно .htaccess

8 Min-Z-Drav

  • Min-Z-Drav
  • Бывалый!
  • Карма: 7 / 0

Re: Вирус DLE uploads/addnews.php

.htacess я скопировал из сообщения Hooligan, если что!
http://s017.radikal.ru/i424/1303/19/d8fd9bcf00bc.jpg
найдите отличие где рабочий .htaсcess а где переименованный!
Эти два файла находятся в одной папке!

  • admin
  • АлаичЪ
  • Карма: 143 / 2

Re: Вирус DLE uploads/addnews.php

Min-Z-Drav пишет:

где рабочий .htaсcess а где переименованный!

Они вполне могут быть оба фейковыми. Сделай-ка себе чистое обновление https://alaev.info/blog/post/3970 - заодно всю гадость точно вычистишь.

10 Min-Z-Drav

  • Min-Z-Drav
  • Бывалый!
  • Карма: 7 / 0

Re: Вирус DLE uploads/addnews.php

admin, спасибо так и сделал, теперь подожду что будет!