Помощь Заражение вирусом файлов .js в DLE 9.0 и 9.2

Тема в разделе "DLE", создана пользователем -НиК-, 8 апр 2012.

Информация :
Актуальная версия DataLife Engine 11.1
( Final Release v.11.1 | Скачать DataLife Engine | Скачать 11.1 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 10.0 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. -НиК-

    -НиК-

    Регистр.:
    12 фев 2007
    Сообщения:
    163
    Симпатии:
    130
    Два сайта на разных хостингах, один на движке DLE9.0 другой на DLE9.2, нуллы от M.I.D-Team
    В течение 2-3 последних месяцев регулярно подвергаются заражению все .js файлы, внизу у этих файлов появляется строка левого кода с вирусом, Касперский на него кричит, а самое поганое то, что Яндекс видит этот вирь и убирает сайты из индекса.
    Лечу откатом содержимого FTP до уровня первой копии и сменой паролей, но это не помогает, через некоторое время происходит повторное заражение всех .js файлов.
    Оба сайта заражаются в один и тот же день, у меня есть подозрение, что это заказ конкурентов.
    Подскажите, что делать, как защитится от этой заразы?
     
  2. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.403
    Симпатии:
    1.183
    Судя по логам на моем сервере ломают на автомате всё, что старое и можно сломать:)
    Ставь актуальную версию DLE, либо найди дырку через которую ломают и закрой, ну или найми фрилансера, который сможет это сделать.
     
  3. fasol

    fasol Создатель

    Регистр.:
    25 авг 2008
    Сообщения:
    16
    Симпатии:
    1
    Закройте уязвимость по примеру с оф. сайта: #mce_temp_url#

    Название хостера и версия php?
     
  4. -НиК-

    -НиК-

    Регистр.:
    12 фев 2007
    Сообщения:
    163
    Симпатии:
    130
    В 9.0 я эту заплатку поставил ещё до публикации сайта в интернете, а в 9.2 она была изначально.
    timeweb.ru PHP 5.2.17 и jino.ru PHP 5.2.17
     
  5. dmx

    dmx

    Регистр.:
    22 июн 2011
    Сообщения:
    662
    Симпатии:
    526
    99% у тебя в компе троян, он соединяется через ftp со всеми сайтами, которые в фтп клиенте с паролями - и заливает в js файлы вирусню.
     
  6. -НиК-

    -НиК-

    Регистр.:
    12 фев 2007
    Сообщения:
    163
    Симпатии:
    130
    99.999% у меня на компе трояна нет, у меня есть ещё 3 сайта на DLE, они не заражены.
    Помимо меня доступ к FTP заражённых сайтов имеют ещё 2 человека, причём каждый из них, только к одному сайту, вероятность того, что они одновременно подцепили один и тот же троян близка к 0.
     
  7. almaz

    almaz

    Регистр.:
    12 ноя 2006
    Сообщения:
    336
    Симпатии:
    74
    Если стоит модуль переходы посмотри в его сторону...
     
  8. -НиК-

    -НиК-

    Регистр.:
    12 фев 2007
    Сообщения:
    163
    Симпатии:
    130
    Этот модуля я не ставил.
    Один сайт вообще голый, без модулей и хаков, только официальные заплатки и шкура которую я досконально изучил перед установкой.
     
  9. niza

    niza

    Регистр.:
    7 май 2009
    Сообщения:
    496
    Симпатии:
    115
    а сайты расположены у одного хостера и на одном аккаунте?
    вероятность что взломали соседний сайт(не твой) и через него заливают
     
  10. Valeras

    Valeras Постоялец

    Регистр.:
    23 апр 2007
    Сообщения:
    107
    Симпатии:
    36
    1. Поменяй пароли к FTP доступу или лучше подключайся по SSH (используя как-нибудь http://winscp.net).
    2. Обязательно должен быть левая папка или файл - проверь с оригиналом на установленным на локалке (например engine/classes/min/bilding).
    3. Установи права на все файлы JS только на чтение для всех, в том числе и для себя (444). Нужно будет поменять что-нибудь в файле, изменишь обратно на запись, потом обратно на 444.