Сегодня, 6 апреля, пришло такое письмо от Google:
Проверил, переход с поисковиков проходит нормально. Антивирус не обнаружил никаких изменений в файлах движка. Что это? Google поздно проснулся?
Прошло 5 суток после удаления файла t.jpeg, полет нормальный, больше ничего лишнего не появляется. Сайты работают, как положено.
gkir,
Вот ссылка на архив. Там сама картинка и код в текстовом файле, который вытянул из нее.
Пароль на архив:
cod
Просканировал антивирусом на компе все файлы сайта, скачаные 24 февраля (когда началась эта свистопляска с переадресацией).
Обнаружился вирус. Вот путь к нему:
.\engine\editor\jscripts\tiny_mce\plugins\spellchecker\spellchecker.php
В оригинале такого файла нет, да и в модулях, установленных на сайт, тоже.
Удалил, сайты работают нормально пока. Никаких побочных проблемм нет.
Сегодня опять пошла регистрация с каких-то непонятных адресов. Вот часть из них:
*@infosnet24.info
*@whydrinktea.info
*@biggestyellowpages.info
*@atautoinsurance.org
*@lighting-us.info
*@computerhardware2012.info
Временно запретил регистрацию на сайтах (тем более, что ссылки открытые на скачку, не в hide)
Айболитом провел полное сканирование. Обнаружил вредную картинку:
/engine/skins/bbcodes/images/t.jpeg
В оригинале ее нет, удалил. Жду, что получится.
Переименовал эту картинку в t.txt, открыл в блокноте, и в конце обнаружился php код. Я в этом php не силен. Кому интересно, могу выложить.
Пароли поменял все, насчет "чистого" движка тяжелый вопрос: примерно с DLE82 стандартно обновляюсь. Сейчас DLE95. (Заливаю файлы новых версий поверх старых). Сам уже подумал о том, чтобы все удалить (файлы движка), установить новый, и тогда уже базу восстановить. На хостинге 3 сайта, на всех появляется этот код. Все сайты DLE95, шаблоны свои. Сам постингом почти не занимаюсь, вполне возможно, что есть картинка паленая. Но как ее определить? Кстати, последние 5-6 месяцев заметил, что много регистраций с каких-то левых почтовиков. Уже за...лся вылавливать и запрещать регистрацию. В .htaccess доступ к сайтам разрешен только с IP в основном СНГ (забугор мне не нужен), хотя и там есть пробелы. Есть большое подозрение на базу, может там что-то?
Спасибо за участие.
P.S. Кстати, мой младший сын профессионально занимается ВЭБ-дизайном. Вчера общались, его сайты тоже ломали (хотя движки сам пишет). Я его успокоил, что у меня все ОК, и вот на тебе... Но пока все работает, посмотрим, что дальше будет.
MudryiKaa,
Спасибо, прочитал отзывы о человеке, побольше бы таких. Буду обращаться.
Всем доброго времени суток! После применения айболита восстановил 4 файла в соответствии с оригиналом. Кроме того поставил на них права доступа 444 (только чтение). Сделал снимок из админки антивирусом. Сегодня обнаружил, что файл ./engine/engine.php изменен. Снова нашел в нем вредный код, да и к тому же права на этом файле стояли уже 666, (а вчера сам лично ставил 444). Вот такая бяка получается. Где-то этот гад далеко зарылся. Может кто сможет подсказать - куда копать? Проблема общая, давайте вместе решать.
Я просто сравнил с оригинальными файлами. В отчете тоже много всего было, но воспользовался лишь рекомендациями в первой части. Пока сайты работают, подгоняю свои шаблоны под 9.8. А чтобы запретить запись в файлы - поставь права доступа 444. Да, еще в админке сделал снимок антивирусом, чтобы в случае чего, было видно, какие файлы изменены.
Спасибо! С помощью этого скрипта нашел изменения в след. файлах:
./engine/data/dbconfig.php
./engine/engine.php
./engine/init.php
./index.php
Напихано много было. Пока что сайты нормально работают.
ded30,
У меня 3 сайта у одного хостера aghost.biz. Все 9.5. На всех 3-х появилось это...
