Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Как найти шелл?

Как найти шелл?


     18.09.2013    Все вопросы » Общие вопросы    6154

вопрос
В общем, по базу данных бал раскидан вредоносный скрипт. Все удалил. Удалил все файлы движка, залил совершенно новые. Поменял пароли и установил AntiShell. Версия дле 10.0. Все равно через пару-тройку дней опять поймал тот же вирус. AntiShell ничего не показал. А вот встроенный антивирус движка показал, что добавилось два файла по адресам:
/engine/cache/system

файлы под названием:
minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156
minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156.gz

Первый - точная копия одноименного с данными базы данных. Второй зашифрован. Скорее всего как-то эти файлы появляются в кеше системы и потом с них берется пароль к базе данных и делается внедрение по бд вредоносного кода.
Кто с этим сталкивался и как закрыть данную дыру?

Заранее, огромное спасибо!

Ответил: ПафНутиЙ


1. Установить заплатку
2. Сменить все пароли! От БД, от FTP и SSH (на всякий случай)
Антишелл ничего не нашёл потому, что папка cache находится в исключениях проверки (если вы устанавливали скрипт с настройками по умолчанию)

8 комментариев

Sander
PHP-developer

Sander - 18 сентября 2013 16:06 -

Я у себя вообще удалил папку /engine/classes/min/ :)

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

ПафНутиЙ
Админ

ПафНутиЙ - 18 сентября 2013 16:14 -

Ага, и прощай оптимизация скорости загрузки в виде объединения и сжатия css и js ))

Каков вопрос - таков и ответ. Просто помните об этом.

Бахмут
Юзер

Бахмут - 18 сентября 2013 16:42 -

И по теме вопросик еще. Судя по всему у чела, который залил вирусы через эту дырку, также была возможность и сделать дамп базы себе на комп? Правильно ли я понимаю?

Exile
Гости

Exile - 18 сентября 2013 16:49 -

Если у него были пароли от бд, то да, он мог сделать дамп.

ПафНутиЙ
Админ

ПафНутиЙ - 18 сентября 2013 16:52 -

Если смог насовать гадостей - то смог слить и всю БД и весь сайт.

Каков вопрос - таков и ответ. Просто помните об этом.

Бахмут
Юзер

Бахмут - 18 сентября 2013 18:43 -

Ну в принципе я так и думал(((. Хотя особо не страшно, даже дубль сайта сделает - вряд ли поисковики меня понижать в выдаче начнут, но неприятно как-то...

fluffy
Юзер

fluffy - 27 ноября 2014 21:13 -

Мне как-то заливали шеллы. Возрасла нагрузка на сервер, почта стала в спам попадать. Решил вопрос, нашел пару шеллов и закрыл дыру.
Тут смотрел http://mr-stiher.ru/blog/find-shell-via-shh.html

ПафНутиЙ
Админ

ПафНутиЙ - 28 ноября 2014 00:45 -

http://revisium.com/ai/ - попробуйте, может ещё чего отыщите))

Каков вопрос - таков и ответ. Просто помните об этом.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх