Вопрос? Взломали dle 13

Это платный парсер Платно - Парсер allserials + модуль обновлений и автопостинг в группу вк или бесплатный Видеоплеер allserials для сайта

 

PunPun платный который.

Не могу утверждать что виновен именно этот модуль, т.к. дыры не было найдено, спасло только 444 на файлы особо важные в ДЛЕ.

 

На какие файлы именно? Почему-то в инструкции только 666 и 777. Помню, что на htaccess надо ставить 444, и даже раньше в админке выходили сообщения об этом...Сейчас нет предупреждений, но я всегда ставлю по старинке.

 

777 на папки для создания в них файлов, 666 на редактирование файлов, по стандарту на файлах стоит 644, что дает право редактировать файл по фтп, если же поставить на файл 444, то файл нельзя будет исправить ни по фтп ни через файловый менеджер в панели управления сервером, что только повышает уровень защиты. А вот на какие файлы - на все, которые есть в движке, полный список составить не быстро, да он и не нужен.

 

Аналогично непонятно как взломали один сайт не давно на ДЛЕ 12.1, файл такой же printn был в папке engine и ещё в папке engine/ajax. Самое простое решение было - обновиться до 13,1 с полным удалением всех старых файлов движка кроме папки с конфигами и перенос всех правок ДЛЕ в плагины. Сейчас уже проверяю все файлы через антивирус в ДЛЕ и после всех правок делаю новый слепок файлов.

На одном же сайте на ДЛЕ 11.3 вообще постоянно добавляется один и тот же комментарий от гостя игнорируя фильтр слов и модерацию комментариев, и не могу понять как же происходит добавление такого комментария.

 

Проблема на стороне хостинга не рассматривалась?

 

-

 

это происходит на разных серверах и на разных хостингах, поэтому думаю что всё же это не сотрудники хостинга такое делают, если только этот этот сотрудник не работает в нескольких хостингах в ТП, что думаю очень даже маловероятно.

 

Тоже 2 свежих взлома. Версии 13.1 и 11. Шеллы в папке uploads/posts/.. от 16 октября и 30 октября

 

Один файл, который был закодирован, кажется в папке engine - DDecode - PHP Decoder (eval, base64_encode, gzinglate, etc).
нашёл его по значению $auth_pass ааааа - 13948864e05dba5d1527f621c58a3db1

 

Непонятно, как это ломанулось так. Лично давал доступ 3 человекам к ФТП, вроде им доверяю. В админке, в логах видно, что брутили (вручную, скорее всего) c 19 ноября. Вроде как безуспешно. Если брутили и сбрутили, то зачем создавать бекап базы? Можно ли вообще создать бекап базы имея доступ только к ФТП?

 

Можно.

 

На оффорум DLE кто-нибудь ходил? Обращался к ТП? Или там пошлют куда подальше?

Именно через DLE? Другой способ я знаю, но так в админке не фиксируется создание бекапа.

 

фиксируется /admin.php?mod=dboption

и через крон фиксируется

 

И еще может кто подсказать, есть ли логи подключения по ФТП на серваках или в панелях? Интересует CentOS и ISP.

Пока только выяснил, что долбятся с Украины

 

Так это средствами DLE бекап сделан? Я имею ввиду, без доступа к админке (не зная логина и пасса админов)

 

У человека на скрине не через крон.

В принципе понятна эта часть. А забить бекап (исправленный) обратно можно не имея пасса к админке? Так же средствами ДЛЕ?

 

не знаю

 

сегодня обнаружил у себя, что в рекламном блоке (средства ДЛЕ) дописан под рекламным кодом еще один, неизвестно откуда код преролла-кликандера. Как смогли туда залезть? В логах админки авторизации только мои, в попытках авторизаций какой то айпи из Ростова. На всякий поменял пароли все, от админки, от БД и т.д.