Sign in to follow this  
Followers 0
GUEVARA

Как я повелся на липовое письмо от правообладателя

7 posts in this topic

Проснулся я значит сегодня, сразу к компу - захожу на свой сайтик а там письмо в личку, мол абуза от правообладателя, оформлено всё как положено, только ссылка не просто написано, а кликабельная с анкором "Ссылка на новость"

Ну я с просони не подумавший и кликнул, а там куча редиректов и в конце я оказался на сайте ИВИ (кинотеатр онлайн вроде). Если честно я не понял юмора, причем тут Иви и абуза... обновляю страничку, а мой сайт уже якобы закрыт для реконструкции (причем кодировка везде слетела)

c79774e5a31d8aeb899590175f95758e.jpeg

Я быстрей в действия админ-панели, там уже новый пользователь нарисовался, который начал свои порядки наводить, я его быстро в блок по айпи и быстрей бэкап востанавливать...

52c936693b284b5b7abe977af1015ed5.jpeg

На данный момент вроде ничего катострафического не нашёл на сайте, так как быстро заблочил юзера, но буду поглядывать в последние действия админки... надеюсь всё будет нормально... поэтому БУДЬТЕ ВНИМАТЕЛЬНЫ к таким письмам

Айпи взломщика специально не затёр, для безопастности можете добавить его в фильтр (хоть и большая вероятность, что это ВПН, но всё же)

 

Share this post


Link to post
Share on other sites
3 минуты назад, files сказал:

Это вроде как старый баг. Почему не обновитесь? 

У меня 11.0 - вроде бы не сильно старая

Что делает данный баг кроме меняет кодировку и отключает сайт? Может еще нужно что-то исправить мне и я пропустил?

Share this post


Link to post
Share on other sites
2 минуты назад, files сказал:

Раскодируйте base64, посмотрите что он тянет и делает.

к сожалению уже не могу код скопировать, так как востановил бэкап, а со скрина перепечатывать нуууу очень долго :mellow:

я думал просто, может такое часто бывало и есть где об этом почитать

Share this post


Link to post
Share on other sites

Кстати, вот ваш патч, закройте уязвимость:

Для исправления откройте файл: /engine/go.php и найдите:
$url = @str_replace ( "&", "&", $url );

ниже добавьте:
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );

Далее откройте файл: /engine/ajax/typograf.php и найдите:
$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );

ниже добавьте:
require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/javascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/data:/i", "dаta:", $txt );
 

Источник: https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

 

 

Share this post


Link to post
Share on other sites

Ребят, сегодня еще пришло интересное письмо на один из сайтов! Обратите внимание на реальную ссылку внизу, такая же как и была от липовых "правообладателей"!

Первая мысль - неужели сайт взломали и продают каким то образом? А потом тут же понял, что развод! БУДЬТЕ ВНИМАТЕЛЬНЫ!

CumgbxN6Ro2yu2HjsQODrA.jpeg

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.