через Total можно скачать все файлы, сохраняя даты изменения файлов, и затем через обычный поиск отсеять по нужной дате.
Ничего подозрительного так и не нашёл.
Но после выполнения всех выше упомянутых действий в данной ветке, всё таки взлом остановил.... Спасибо, всем кто участвовал и помог. Уже 8 дней как сайты живут в покое. Жаль что не удалось узнать какое именно действие помогло защитить фтп, так как производил работы в комплексе.
да менял, и переименовывал файл admin.php, сейчас вообще заблокировал админку.
Проверял сайты встроенным в dle антивирусом - посторонних файлов не обнаружил.
Может есть какие-то предположения по поводу местонахождения вредоносного кода: какие файлы могут быть изменены? какого вида код искать?
вредоносный код искал в выборочных .php файлах (index config menu),
также искал програмкой FindFiles во всех файлах "eval(base64" "iframe"
но вы должны понимать, что это как иголку стоге сена искать, так как файлов очень много.
на хостинге находится несколько сайтов, файлы заливаются и продают ссылки только с тех, тиц которых больше 0.
пробовал менять пароли (фтп, sql, phpAdmin, system), для изменения пароля вводил его через виртуальную клавиатуру касперского2010, и на компьютере нигде и никаким образом не сохранял, а записал на бумажку. После смены пароля, я ни в сpanel ни на фтп не заходил, и пароль нигде не вводил. И был шокирован, когда через 49 минут файлы были залиты на фтп....
с базой всё в порядке - чистенькая ))))
с фильтрацией по ip ничего не вышло, у меня как и у него динамический ip и в одном диапазоне 178.125.74-255.0-255
проверил в безопасном режиме KIS'ом 2010 (естественно на высшем уровне безопасности и с последними обновлениями баз)
проверяло 17 часов - ничего не нашло.... ((((
если с атрибутами на папки что-то и не так, то это не должно иметь никакого значения - ведь при доступе по фтп, права игнорируются
но всё равно CHMOD перепроверю.
sashka_, выше кто-то уже писал, что пробовали сносить и ставить двиг по новой, и из этого ничего не вышло...
mago de sombra, спасибо, а возможно ли через dle получить доступ к фтп?
и что ещё можешь мне посоветовать?
Каждый день заливаются такие файлы:
htaccess.php (в папке uploads) - хз (не раскодировал)
initme.php (в папке engine) - в нем закодирован код, для подключения ссылок
related.php (в engine/cache/system) - хз (не раскодировал)
function.php (в engine/cache/system) - хранятся купленные ссылки с вашего сайта
и в index.php прописывается код "require_once ROOT_DIR . '/engine/initme.php';" - служит для подключения файла initme.php к сайту
а в main.tpl прописывается тэг {lb} - служит для вывода ссылок
если на сайте установлен код sape, то в код "$tpl->set('{LINKS}', $sape->return_links());" добавляется переменная .$lb
при первой заливки вируса на сайт появляется ещё файлик 1.php
Удаление всех вышеперечисленных файлов и смена паролей (фтп, sql, phpAdmin) не помогает...
защита директорий паролем через .htaccess - не помогает...
Очевидно, что файлы заливаются через фтп, о чем и говорят логи фтп:
178.125.131.221 44239 /home/********/public_html/********/1.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:17:19 2011 0 178.125.131.221 2956 /home/********/public_html/********/engine/initme.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:20:11 2011 0 178.125.131.221 2956 /home/********/public_html/********/engine/initme.php b _ i r ******** ftp 1 * c
Tue Mar 15 14:21:35 2011 0 178.125.131.221 5038 /home/********/public_html/********/engine/cache/system/function.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:21:35 2011 0 178.125.131.221 9507 /home/********/public_html/********/engine/cache/system/related.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:21:41 2011 0 178.125.131.221 13 /home/********/public_html/********/engine/cache/system/cron.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:23:01 2011 0 178.125.131.221 6 /home/********/public_html/********/engine/cache/system/banned.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:28:29 2011 0 178.125.131.221 2369 /home/********/public_html/********/templates/Default/fullstory.tpl b _ o r ******** ftp 1 * c
Tue Mar 15 14:40:20 2011 2 178.125.131.221 26097 /home/********/public_html/********/uploads/posts/2011-02/1297525011_603d32b7-ed85-4f86-aa56-1cc4e88072eb.jpg b _ o r ******** ftp 1 * c
Tue Mar 15 14:40:45 2011 0 178.125.131.221 22159 /home/********/public_html/********/uploads/posts/2011-02/1297953424_ede49f57-6518-4341-96cc-50a62bafd999.jpg b _ o r ******** ftp 1 * c
Tue Mar 15 14:40:52 2011 0 178.125.131.221 20316 /home/********/public_html/********/uploads/posts/2011-02/1297976087_4e7d5260-170d-41c2-85fa-d6778fc3ef67.jpg b _ o r ******** ftp 1 * c
Tue Mar 15 14:43:56 2011 0 178.125.131.221 1246 /home/********/public_html/********/engine/cache/related_108.tmp b _ o r ******** ftp 1 * c
Tue Mar 15 14:44:55 2011 1 178.125.131.221 28860 /home/********/public_html/********/templates/Default/main.tpl b _ o r ******** ftp 1 * c
Tue Mar 15 14:45:29 2011 1 178.125.131.221 28855 /home/********/public_html/********/templates/Default/main.tpl b _ i r ******** ftp 1 * c
Tue Mar 15 14:47:27 2011 0 178.125.131.221 7552 /home/********/public_html/********/index.php b _ o r ******** ftp 1 * c
Tue Mar 15 14:48:59 2011 0 178.125.131.221 7506 /home/********/public_html/********/index.php b _ i r ******** ftp 1 * c
Tue Mar 15 14:54:10 2011 0 178.125.131.221 3451 /home/********/public_html/********/engine/data/config.php b _ o r ******** ftp 1 * c
Tue Mar 15 15:29:06 2011 0 178.125.131.221 3451 /home/********/public_html/********/engine/data/config.php b _ o r ******** ftp 1 * c
Tue Mar 15
В общем тут всё ясно - зашёл на фтп закинул файлы, изменил index.php и main.tpl, но для чего он обращался к config.php ? И к каким-то картинкам, которых я не нашёл...
Кто знает, каким образом в dle могут быть украдены пароли? (кража паролей моего компьютера исключается)
Такая же проблема. Каждый день заливаются файлы:
initme.php (В папке engine)
related.php (в system -> cache)
function.php (в system -> cache)
а в main.tpl прописывается тэг {lb}, и в index.php прописывается код.
Удаление и смена пароля (фтп, sql, phpAdmin) не помогает...
Есть идеи?
