Взломан сайт на DLE помогите!

А откуда уверенность что он был один?

Ну так вероятно не всё нашли, раз идут левые запросы

При таком раскладе нужно сносить старый, потом заливать новый, не поверх, ибо если есть левые файлы - они останутся.

Айболит ищет по сигнатурам, то есть по кускам кода из известных шеллов. Однако в нём присутствует так сказать и некое подобие эвристического анализа. Если бы он искал только по сигнатурам, то достаточно бы было внести в шелл некоторые правки и он бы его не находил.

Айболит показывает вам на "сомнительные" куски кода, которые наиболее часто используются в "хакерских" скриптах, однако они же могут присутствовать и в абсолютно нормальных. Ваша задача вручную просмотреть эти файлы и например, сравнить с оригинальными.

Всё же я бы вам посоветовал проверить им сайт полностью, как это сделать - вариантов масса, не отрабатывает у вас на хосте и нет ssh - поставьте денвер и проверьте на локалке.

Также поиском пройдитесь по файлам, ищите eval, base64 и так далее, просмотрите вручную найденные файлы.

Вот, например вы нашли кусок кода, находили и до этого. Берите из них то, чего не может быть в движке, здесь как пример: yandexmedia. Пройдитесь поиском по файлам, возможно ещё где-то есть подобное.

Самый лучший вариант откатить файлы за период в который точно знаете, что шелла не было.. (на хостинге)

Помогли добрые люди с хостинга. Запустили проверку на шеллы и нашли в другом моем сайте на этом же серваке. В ISP нашел левого пользователя с правами доступа к шеллу. Если больше не взломают значит прокатило. Сайты рядом были на DLE 8.5 который дырявый. Хакер видимо его взломал и залил шелл а потом оттуда уже вовсю орудовал на серваке. Там же валялись папка с кукисами от многих крупных сайтов таких как mskd например.

во всех папках запретите доступ извне и усе, делов то

в новых версиях дле хтакес везде нормальный, у меня хрен чо ломают теперь

во всех папках не запретишь. сапа стоит к примеру. а взламывают инъекцией. надо обновляться до версии 9.6.

Проснулся утром и снова тоже самое всплывающее окно на сайте. Оно показывается 1 раз в сутки. При обновлении страницы пропадает. И даже если с другого компа захожу то уже не появляется. На всех файлах и папках снова стоят права 777. Вредоносный код уже не нахожу также как и шеллов. Вобщем ищу надежного честного специалиста по такого рода взломам для починки моего ресурса. Надо искать шелл на сервере наверное а не на сайтах. Потому как в пользователях был один левый с правами доступа по SSH.

Все вычистил, удалил трояны, а сегодня обнаружил что остался так называемый вредоносный мобильный редирект описанный здесь http://safesearch.ya.ru/replies.xml?item_no=322. Когда я с мобилы захожу на сайт например через Опера мини то при клике на просмотр например полной новости меня кидает на скачивание типа обновления Опера мини 6.5. Беда в том что я нигде не могу отыскать в каком файле этот редирект прописан. Где в ДЛЕ определяется откуда зашел посетитель с компа или с телефона? В каком файле useragent парсится? Кстати поддержка смартфонов отключена в настройках и все равно редирект срабатывает.

.htaccess корне сайта гляньте

Там чисто все. И в других тоже.

---------- Добавлено 30.05.2012 в 19:11 ----------

Этот поросенок от имени хостинга прислал письмо следующего содержания:

Здравствуйте, a308!

В период с 30 по 3 июня 2012 г., будут проведены плановые работы по модернизации модернизации оборудования на Вашем сервере. В данном случае просим предоставить текущий root пароль к данному серверу. Процедура никак не повлияет на работу ваших web ресурсов.

--

С уважением, Сергей Гуменюк

Системный администратор. Интернет-Хостинг Центр http://www.ihc.ru/contacts.html

Я даже ничего не подозревая отправил ему рут пароль. Вот настоящий емейл этого хакера cl57151@optimus.timeweb.ru