Как ломают сайт?

Question

[Ayk72]

Привет всем!

Периодически добавляют в js файлы редиректы на мобильные подписки.
Удивительно то, что при добавлении дата изменения файла не меняется!!! Права на файл 444. Как они это делают?

Спасибо.

Comments

[ThunderCat]

на чем сайт то?

[Ayk72]

ThunderCat: dle

[ThunderCat]

Ayk72: https://www.google.com/search?num=30&q=dle+%D0%B2%...

Answer 1

[awdemme]

Ну дату изменения файла можно сохранить, а потом перезаписать после внесения изменений в файл.
Делают - получив доступ на сервер, очевидно.
Может дыра в шелле, может дыра в CMS (это намного более вероятно), может вы свой пароль где засветили.

Comments

[Ayk72]

Думал над этим, менял пароли 100500 раз.

[awdemme]

Ayk72: если CMS распространенная - то её нужно обновлять.
регулярно.

впрочем если там уже сидит зловред - это может и не помочь.

как вариант - грохнуть все файлы CMS (и все подозрительные файлы) и установить из заново из дистрибутива CMS

[Ayk72]

awdemme: там DLE 9.3 на 90% переписанная. Жестко.

[awdemme]

Ayk72: Ну то есть при переписке происходило внедрение кода прямо в ядро DLE? А не где нибудь аккуратно сбоку?

[Ayk72]

awdemme: Я сам весь движок переписал почти, оставил только админ панель. Ито отключил редактор шаблонов и тд. Админку тоже теперь отключил, а он все равно как то поменял файл.

[awdemme]

Ayk72: Можно попробовать запретить модификацию файлов в принципе.

Только перед этим все равно нужно пробежаться по всем файлам в поисках зловредов.
Они обычно свой код прячут в длинные строки типа "xd#ksKvm(0LidkSaik" - визуально это можно найти.

[awdemme]

Ayk72:
Если есть бэкапы и известно время когда начались проблемы и не было больших модификаций в это время - можно попробовать сличить бэкапы с тем, что сейчас есть.

И крон проверьте.

[Дмитрий Гаджиев]

Ayk72: ну если вы сами переписали движок, значит вы и должны знать где есть возможные дыры.

[awdemme]

Дмитрий Гаджиев: Не факт.
Если дыра в самом движке.

[awdemme]

Ayk72: А еще посмотреть что есть известного про уязвимости в версии, которую вы взяли за основу - в DLE 9.3. Возможно, что можно будет пофиксить вручную аккуратно перенеся фиксы, которые уже сделали разработчики DLE

[Дмитрий Гаджиев]

awdemme: я немного другое имел ввиду. если движок не переписывать, то надо искать и фиксить дыры в нем самом. а когда переписывают, не понятно как, не понятно на что, не понятно с какой квалификацией, тут и возникает куча дыр. что мы и видим на примере выше.

[awdemme]

Дмитрий Гаджиев: почему возникает?
а может и не возникает.
на нестандартных движках дыр как бы и нет на практике - об них просто никто не знает.

[Дмитрий Гаджиев]

awdemme: согласен, самописные движки самые надежные. если написаны нормально...)))