Взломали сайт

НЕ давно увидел в main.tpl посторонний скрипт - удалил (движок ДЛЕ). Начали появляться другие скрипты рекламного характера пример:
[not-group=1] <script type="text/javascript" src="http://boosak.ru/?type=js&key=0f2ee68fd22d3f6"></script>[/not-group]

Решил поставить лицензию на дле. Купил ключ, поставил 9,8 (был 9,8 нуллед), сменил шаблон(у меня бесплатный Hot Girls называется, скачал с трастового сайт - dle9)
Кароче решил с нового листа. Не прошло и пол дня как скрипты начали сыпаться снова. Забыл сказать, что запретил доступ на ftp ко всем .tpl. А эта св*лоч теперь льет мне скрипты в новости. Должен каждый раз перезаливать базу данных, а то удалить свыше 1000 скриптов - невозможно сложно).
Че делать? где искать этот шелл?
ПС удалил сегодня с корня фтп новую папку manul. Ссылка ниже, пароль на архив 12345
https://yadi.sk/d/M_uYcwtrhm7FQ

снести DLE
непользовать nulled
nulled DLE - замеделная бомба

А ты читал ваще что я писал? Я поставил лицензию

cococks писал:

Забыл сказать, что запретил доступ на ftp ко всем .tpl. А эта св*лоч теперь льет мне скрипты в новости.

так может тебе фтп ломанули ?

ну видать с DLE толко начал
там щелов и руткитов mysql может быть вагон и тележка + файлы перезаливал или все сносил?
+ template делал или красил чужой?
с DLE njkrmj напали помогает
переходи на WP
все функции выполняет так же для downlaods

Цитата:

переходи на WP

вместо друшлака решето? ) занятно

почему решето? - disallow кроме твоего IP тебя спасет

на весь домен!

ну конечно! - зачем в админку заходить по IP твоего VPN на VDS

Цитата:

ну видать с DLE толко начал icon_smile.gif там щелов и руткитов mysql может быть вагон и тележка + файлы перезаливал или все сносил? + template делал или красил чужой? с DLE njkrmj напали помогает переходи на WP все функции выполняет так же для downlaods

Все сносил с нуля. Заново заливал dle (лицензия).Шаблон был бесплатный - редактировал. Перезалил скачанный с другого сайта, проверил ai-bolitom - чистый.
Токо начались проблемы, сменил пароли, включая фтп.
Могу слить дамп сайта если кто то толковый решит взглянуть.

mysql проверь на инъекции

cococks: посмотри в логах, с какого ip обращаются к админ-части, либо к шеллам.
Заново всё установи и жди следующего взлома. Посмотри что запрашивают, там и ищи.

А как посмотреть в логах? или инъекциях?

Логи обычно хранятся в /var/log/
посмотри, что там есть. Может даже они отключены.

Искать, как-то так:

Код:

grep 'wp-admin' /var/log/httpd-access.log

Ищет строки в апачевских логах с попыткой доступа к wp-admin, его соответственно меняешь на адрес админ-секции у ДЛЕ.

Если логи сжимаются, то

Код:

zcat /var/log/httpd-access.log.0.gz | grep 'wp-admin'

Ещё, может пригодиться

Код:

find /home/user/www -name '*php' -mtime +31 -print

Вывести список файлов php, которые были изменены более 31 дня назад.

Вроде всё, чем я ловил хакеров.

Вот статья хорошая: http://habrahabr.ru/company/pentestit/blog/262579/
и оттуда скрипт http://revisium.com/ai/

закрыть необходимо доступ к админке (через .htaccess) по ip, в ftp по iptables (если у вас линукс). просканить на вирусы домены. это первое что надо сделать