Спасибо за ссылку, сделал все как хотел :)
То что код подгружался из вне это понятно, просто у меня видимых "нештяков" не было, вот у вас тизер появлялся, теперь цель более менее ясна, я бы не сказал что на dle куча сайтов, да возможно в русском сегменте их немерено, но я активно использую joomla и сделал не один клиентский сайт и не один из них не был взломан, да на жумла выходят обновления регулярно, но блин вы обновлялись на жумла хоть раз? Joomla 3.х обновляется прям из админки одним кликом мыши, обновление ДЛЕ это целый процесс, да скопировать папку engine не проблема, но потом поправить код и внедрить все плюхи, которые разработчик откладывает на будущие версии дабы быть в теме. Я думаю вряд ли кто-то юзает чистый ДЛЕ из коробки... Я конечно не говорю что ДЛЕ это полный абзац и все ребята айда на жумла, жумла старше, опытнее и богаче... Это так о наболевшем... Я к чему, разработчик мог бы отреагировать как-то живее, а не выкинуть три строчки кода, которые как выяснилось сразу же на следующий день особо не решали проблему! Это дизлайк... И вы же понимаете что дыра тянулась от версии к версии очень долго, что то же не может не насторожить =). То внедрялся код через gif аватары, теперь это, да уже все и не припомнишь, безопасность явно у ребят не стоит на первом месте, нет должного тестирования и так далее, понятно им грустно что купленных лицензий процентов так 5 от используемых на сайтах, но вы взяли обязательства перед этими же 5 процентами....
Какая цель конкретная преследовалась при добавлении этого кода в посты друшлака под именем ДЛЕ ? P.S. после первой чистки уже сколько дней назад зараза более не появлялась... Кстати насчет phpmyadmin, заражение повторное не происходило с даты моего создания этого топика, а адмиша был включен на сервере все это время... ДЛЕ был друшлаком и будет оставаться им еще долгое время -ИМХО. И кстати насчет ввода новых функций создателями скрипта, хочу сказать одно - вы предыдущие до ума доведите, а не каждые 2 месяца новую версию дуйте! Конечно цена копеечная за сее творение, но та же joomla надежней и бесплатная. Ладно, наболело... Понятное дело что выявить все уязвимости невозможно да и не нужно этого делать, но скорость отклика поражает. Кто им после этого деньги то заплатить захочет.
Ну это то я видел еще раньше, да и сам этот код удалить то не проблема, по поводу самой заплатки то тихо...
Так а кто-то с разработчиком эту проблему обсуждает? Или тут все на нулах и кейгенах? Парни выложили кусочек кода, который якобы должен был помочь... но судя по сообщениям толку от этого мало. Рапартую на счет моих сайтов =)Заражение не повторялось после танцев с барабанами...
Третий день после чистки, смены паролей и установки заплатки все спокойно, может дыра есть конечно просто до моих сайтов еще не добрались по новой...
<?php if(isset($_GET['blank'])) die(); error_reporting(0); set_time_limit(0); function stripslashes_array($array) { return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array); } if(get_magic_quotes_gpc()) $_POST = stripslashes_array($_POST); session_start (); define ( 'DATALIFEENGINE', true ); $member_id = FALSE; $is_logged = FALSE; define('ROOT_DIR', dirname( __FILE__ )); define('ENGINE_DIR', ROOT_DIR.'/engine'); require_once ROOT_DIR.'/engine/init.php'; ?> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <title>Доктор DLE</title> <style type="text/css"> body, td, th { color: #333; font-family: Arial; font-size: 14px; } </style> </head> <body> <?php if(isset($_POST['submit'])) { echo '<div id="result">'; $posts = $db->query("SELECT `id`, `full_story`, `short_story` FROM `".PREFIX."_post`"); while($post = $db->get_row($posts)) { $post['full_story'] = preg_replace('/(<object.*<\/object>)/Usi', '', $post['full_story']); $post['short_story'] = preg_replace('/(<object.*<\/object>)/Usi', '', $post['short_story']); $sql = 'UPDATE `'.PREFIX.'_post` SET `full_story`="'.mysql_escape_string($post['full_story']).'", `short_story`="'.mysql_escape_string($post['short_story']).'" WHERE `id`='.$post['id']; $db->query($sql); } echo 'Готово'; echo '</div>'; } ?> <form action="" method="post"> <input type="submit" name="submit" value="Начать" /> </form> </body> </html>
Вроде не учтены правила сайта, туда тоже это чудо прописывается...
Как писали выше, я слил свою базу, открыл notepad'ом, а потом обычный поиск и замена на пустое место, учтите код со временем меняется вредоносный (я нашел у себя три варианта, отличаются несущественно, но для поиска и замены нужно полное совпадение), так что их может быть несколько вариантов, в обед как профиксил по ссылки что дали во втором посте, почистил, сменил пароли на все и вся, вроде не появляется нечего такого...
Огромное спасибо за информацию Вам, проблема устранена...
Открыл новость в WYSIWIG редакторе:
Начинается код:
<div style="text-align: center;"></div><p>[thumb]адрес картинки[/thumb]<br />[thumb]адрес картинки 2[/thumb]<br />[thumb]адрес картинки 3[/thumb]<br />
И так идет до 138 картинки хотя загружено и вставлено 157 картинок, часть картинок он тупо выбросил, и заканчивает кодом:
[thumb]картинка 138[/thumb]<br</p>
В другой новости где грузится 196 картинок после 139 картинки вставляется:
<!--TBegin:http://..............jpg|--><a href="http://....................jpg" onclick="return hs.expand(this)" ><img src="http://................jpg" alt='Бла бла бла' и все остальных картинок нет (в место точек понятно url картинки)
Не каких правок для редактора не вносилось, куда он вырезает часть картинок и откуда берется этот код....
Как будто какое-то ограничение по длине и он удаляет лишние символы...
