Взломали DLE 9.5

Влад обращайтесь, постараемся вам помочь, после анализа сообщим как же все таки вас сломали

Тоже редиски поработали над моим дле.

Проблема, вроде как, решается удалением JS кода в main.tpl шаблона. Во всяком случае, у меня эта [censored] была именно там.

Вы лечите следствие.. Причина остается, и завтра получите другой ЖС-ник.

Меняйте пароли в админпанеле т.к. этот бот он пароли подбирает к админкам и редактирует шаблон main.tpl походу в автоматическом режиме.

Вот скрин http://d.pr/i/GXCm

Поменял пароли - проблема решилась.

Такая же хрень была, авторизация была по логину второго админа

удалил второго админа и убрал разрешение на запись файлов шаблона

пока тишина, посмотрим что будет дальше

Присоединяюсь, была такая же проблема. Скорее всего дырка не в CMS, а в хостинге. Сайты лежавшие на одном сервере были заражены этим же заболеванием, только в разных вариациях. Причем пациенты использовали разные контент мэнеджеры (DLE, Joomla, Wordpress), примечально также, что сайты использующие CMF (MODx) или самописный движок (PHP + MySQL, C# + MySQL) не подверглись атаке злоумышленников. Удаление кода и смена пароля не помогли, на следующий день сайты опять были заражены. После чего сменил права на управление файлами хостинга и защитил их все от записи, больше "атакам" не подвергаюсь.

PS. Обсуждение этой темы на мауле.

Впервые на днях случилось похожее.. Движок такой же версии. При входе на сайт писало - →*Объект заражен Trojan-Clicker.HTML.Agent.bt . Залили шелл. Обратился к хосту и они снесли все не нужное. Сменил все пасы, пока что норм.

То же самое...

Вход был через админ панель, от одного из юзеров с УКР айпишника

46.28.69.61.

Меняйте пароли, и путь к панели...

Ну, я ещё запретил редактировать шаблон...

Вот только нафиг они туда всунули Windows Phone, как туда вирус запихнуть то?

Я уже давно пользуюсь движком ДЛИ, но пол года назад понял очень много деталь.

Проблема не в самом движке ДЛИ, а в модулях что вы все время добавляйте, форумы крэкнутые и многое другое.

Даже если вы купили лицензию, но на хостинге гдето валяется крэкнутый движок, то злой дядька зайдет через него зальет пару файлов и будет управлять основным. Он узнает пароль от БД, а также будет на стороне изменять TPL файлы.

Также многие пользуются Referer - крэкнутый !!! О круто, о бесплатно :) Движок круто, бесплатно, модули по интернету круто - бесплатно :) в итоге сидите и нойте на форумах что у Вас такой вирус или взломали.

Удалите бесплатные модули, удалите крэкнутый referer и многое другое что вы ставили дополнительно к движку. Удалите другие движки и файлы которые не относятся к движку. Также когда заходите на хостинг не заходите программами которые сохраняют пароли к примеру "Total Commander"

У кого на сайте уже злоумышленик поставил рекламу, или ссылку на авирус, перезалете файлы от ДЛИ, проверьте каждый шаблон детально каждую строчку, каждый скрипт.

К примеру может быть такое:

<script type="text/javascript">Ваш код; sa2148{4=d3as}d1a354ds8a4dsad - не понятные каракули</script> - вот эти непонятные каракули, это закодированный код.

Поменяйте пароль на БД, поменяйте пароль на хостинг.

P.S. Если вы нашли ссылку с вирусом, поменяли везде пароли и даже нашли вирус на хостинге и удалили, это еще не значит что решили проблему. Это временно злой дядя не зайдет на вашем сайте.