Помощь [help] Странная проблема

Тема в разделе "DLE", создана пользователем megafreeman, 19 ноя 2008.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. megafreeman

    megafreeman Читатель

    Заблокирован
    Регистр.:
    8 июн 2008
    Сообщения:
    164
    Симпатии:
    137
    Сделал сайт, установил DLE 7.3 Null by MadMan взятый из этого раздела из закрепленной темы.
    Шаблон взял из этого топика http://www.nulled.ws/showthread.php?t=85596

    На второй день заметил что при заходе на сайт через несколько секунд менялся адрес страницы в адресной строке браузера на http://beshragos.com/work/getfile.php?f=vispdf
    При этом сама страница (содержание, контент) были с самого сайта (которые и должны быть).
    Проверил в опере, файерфоксе и IE - проблема как и описана выше.
    В google chrome вылетела страница-предупреждение:
    Вопросы: что это такое? Как оно попало ко мне? Как от этого избавиться?

    Сайт светить не хочу, поэтому ссылки не дам.

    P.S. проверил все файлы шаблона. От оригинала (взятого) шаблона остались лишь 2 счетчика: от pr-cy.ru и liveinternet.ru.

    Есть предположение что в файлах движка, тогда в каких именно искать в первую очередь?
     
  2. Shotlandec

    Shotlandec

    Регистр.:
    17 сен 2007
    Сообщения:
    728
    Симпатии:
    162
    самое превое ищи в корне index.php
    ты червя скорее всего подхватил у себя на компе, а пользуешься доступом к фтп через тотал коммандер. твои пароли попали кому-то. смени пароли. и в этом файле ищи в самом конце. на всякий случай сравнис оригиналом из дистрибутива.
     
    megafreeman нравится это.
  3. megafreeman

    megafreeman Читатель

    Заблокирован
    Регистр.:
    8 июн 2008
    Сообщения:
    164
    Симпатии:
    137
    Вот содержимое index.php

    PHP:
    <?php
    /*
    =====================================================
     DataLife Engine Nulled by M.I.D-Team
    -----------------------------------------------------
     http://www.mid-team.ws/
    -----------------------------------------------------
     Copyright (c) 2004,2008 SoftNews Media Group
    =====================================================
     Данный код защищен авторскими правами
    =====================================================
     Файл: index.php
    -----------------------------------------------------
     Назначение: Главная страница
    =====================================================
    */
    @session_start();
    @
    ob_start(); 
    @
    ob_implicit_flush(0); 

    @
    error_reporting(E_ALL E_NOTICE);
    @
    ini_set('display_errors'true);
    @
    ini_set('html_errors'false);
    @
    ini_set('error_reporting'E_ALL E_NOTICE);

    define('DATALIFEENGINE'true);

    $member_id FALSE;
    $is_logged FALSE;

    define('ROOT_DIR'dirname (__FILE__));
    define('ENGINE_DIR'ROOT_DIR.'/engine');

    require_once 
    ROOT_DIR.'/engine/init.php';

        if (
    clean_url ($_SERVER['HTTP_HOST']) != clean_url ($config['http_home_url'])) {

            
    $replace_url = array();
            
    $replace_url[0] = clean_url ($config['http_home_url']);
            
    $replace_url[1] = clean_url ($_SERVER['HTTP_HOST']);

        } else 
    $replace_url false;


        
    $tpl->load_template('main.tpl');

        
    $tpl->set('{calendar}'$tpl->result['calendar']);
        
    $tpl->set('{archives}'$tpl->result['archive']);
        
    $tpl->set('{tags}'$tpl->result['tags_cloud']);
        
    $tpl->set('{vote}'$tpl->result['vote']);
        
    $tpl->set('{topnews}',$topnews);
        
    $tpl->set('{login}',$login_panel);
        
    $tpl->set('{info}'"<span id='dle-info'>".$tpl->result['info']."</span>");
        
    $tpl->set('{speedbar}'$tpl->result['speedbar']);

        if (
    $config['allow_skin_change'] == "yes")
            
    $tpl->set('{changeskin}'ChangeSkin (ROOT_DIR.'/templates'$config['skin']));

        if (
    count($banners) AND $config['allow_banner']) {

            foreach (
    $banners as $name => $value) {
                
    $tpl->copy_template str_replace("{banner_".$name."}",$value$tpl->copy_template);
            }

        }

        
    $tpl->set_block("'{banner_(.*?)}'si","");

        if (
    count($informers) AND $config['rss_informer']) {
            foreach (
    $informers as $name => $value) {
                
    $tpl->copy_template str_replace("{inform_".$name."}",$value$tpl->copy_template);
        }}

        if (
    $do=="" AND !$subaction AND $year$do "date";
        elseif (
    $do=="" AND $catalog$do "catalog";
        elseif (
    $do==""$do $subaction;


        if (
    $allow_active_news AND $config['allow_change_sort'] AND !$config['ajax']) {

            
    $tpl->set('[sort]'"" );
            
    $tpl->set('{sort}'news_sort$do ) );
            
    $tpl->set('[/sort]'"" );

        } else {

            
    $tpl->set_block("'\\[sort\\](.*?)\\[/sort\\]'si","");

        }

        if ( 
    strpos$tpl->copy_template"[aviable=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[aviable=(.+?)\\](.*?)\\[/aviable\\]#ies","check_module('\\1', '\\2', '{$do}')"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"[not-aviable=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[not-aviable=(.+?)\\](.*?)\\[/not-aviable\\]#ies","check_module('\\1', '\\2', '{$do}', false)"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"[not-group=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[not-group=(.+?)\\](.*?)\\[/not-group\\]#ies","check_group('\\1', '\\2', false)"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"[group=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[group=(.+?)\\](.*?)\\[/group\\]#ies","check_group('\\1', '\\2')"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"[category=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[category=(.+?)\\](.*?)\\[/category\\]#ies","check_category('\\1', '\\2', '{$category_id}')"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"[not-category=" ) !== false ) {
            
    $tpl->copy_template preg_replace"#\\[not-category=(.+?)\\](.*?)\\[/not-category\\]#ies","check_category('\\1', '\\2', '{$category_id}', false)"$tpl->copy_template);
        }

        if ( 
    strpos$tpl->copy_template"{custom" ) !== false ) {

            
    $tpl->copy_template preg_replace"#\\{custom category=['\"](.+?)['\"] template=['\"](.+?)['\"] aviable=['\"](.+?)['\"] from=['\"](.+?)['\"] limit=['\"](.+?)['\"] cache=['\"](.+?)['\"]\\}#ies""custom_print('\\1', '\\2', '\\3', '\\4', '\\5', '\\6', '{$do}')"$tpl->copy_template );

        }

        
    $config['http_home_url'] = explode("index.php"$_SERVER['PHP_SELF']);
        
    $config['http_home_url'] = reset($config['http_home_url']);

        if (!
    $user_group[$member_id['user_group']]['allow_admin']) $config['admin_path'] = "";

    $ajax .= <<<HTML
    <script language="javascript" type="text/javascript">
    <!--
    var dle_root       = '
    {$config['http_home_url']}';
    var dle_admin      = '
    {$config['admin_path']}';
    var dle_login_hash = '
    {$dle_login_hash}';
    var dle_skin       = '
    {$config['skin']}';
    var dle_wysiwyg    = '
    {$config['allow_comments_wysiwyg']}';
    var quick_wysiwyg  = '
    {$config['allow_quick_wysiwyg']}';
    var menu_short     = '
    {$lang['menu_short']}';
    var menu_full      = '
    {$lang['menu_full']}';
    var menu_profile   = '
    {$lang['menu_profile']}';
    var menu_fnews     = '
    {$lang['menu_fnews']}';
    var menu_fcomments = '
    {$lang['menu_fcomments']}';
    var menu_send      = '
    {$lang['menu_send']}';
    var menu_uedit     = '
    {$lang['menu_uedit']}';
    var dle_req_field  = '
    {$lang['comm_req_f']}';
    var dle_del_agree  = '
    {$lang['news_delcom']}';
    var dle_del_news   = '
    {$lang['news_delnews']}';\n
    HTML;

    if (
    $user_group[$member_id['user_group']]['allow_all_edit']) {

    $ajax .= <<<HTML
    var allow_dle_delete_news   = true;\n
    HTML;

    } else {

    $ajax .= <<<HTML
    var dle_login_hash = '';
    var allow_dle_delete_news   = false;\n
    HTML;

    }

    $ajax .= <<<HTML
    //-->
    </script>
    <script type="text/javascript" src="
    {$config['http_home_url']}engine/ajax/menu.js"></script>
    <script type="text/javascript" src="
    {$config['http_home_url']}engine/ajax/dle_ajax.js"></script>
    <div id="loading-layer" style="display:none;font-family: Verdana;font-size: 11px;width:200px;height:50px;background:#FFF;padding:10px;text-align:center;border:1px solid #000"><div style="font-weight:bold" id="loading-layer-text">
    {$lang['ajax_info']}</div><br /><img src="{$config['http_home_url']}engine/ajax/loading.gif"  border="0" alt="" /></div>
    <div id="busy_layer" style="visibility: hidden; display: block; position: absolute; left: 0px; top: 0px; width: 100%; height: 100%; background-color: gray; opacity: 0.1; -ms-filter: 'progid:DXImageTransform.Microsoft.Alpha(Opacity=10)'; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=10); "></div>
    <script type="text/javascript" src="
    {$config['http_home_url']}engine/ajax/js_edit.js"></script>
    HTML;

    if (
    $allow_comments_ajax AND ($config['allow_comments_wysiwyg'] == "yes" OR $config['allow_quick_wysiwyg']) ) 
    $ajax .= <<<HTML

    <script type="text/javascript" src="
    {$config['http_home_url']}engine/editor/jscripts/tiny_mce/tiny_mce_gzip.js"></script>
    <script type="text/javascript">
    tinyMCE_GZ.init({
        plugins : "safari,emotions,inlinepopups",
        themes : 'advanced',
        languages : '
    {$lang['wysiwyg_language']}',
        disk_cache : false,
        debug : false
    });
    </script>

    HTML;

    if ( 
    strpos$tpl->result['content'], "hs.expand" ) !== false OR strpos$tpl->copy_template"hs.expand" ) !== false OR $config['ajax'] OR $pm_alert != "") {

        if (
    $pm_alert != ""$hs_prefix "-html"; else $hs_prefix "";

    $ajax .= <<<HTML

    <script type="text/javascript" src="
    {$config['http_home_url']}engine/classes/highslide/highslide{$hs_prefix}.js"></script>
    <script type="text/javascript">    
        hs.graphicsDir = '
    {$config['http_home_url']}engine/classes/highslide/graphics/';
        hs.outlineType = 'rounded-white';
        hs.numberOfImagesToPreload = 0;
        hs.showCredits = false;
        hs.lang = {
            loadingText :     '
    {$lang['loading']}',
            fullExpandTitle : '
    {$lang['thumb_expandtitle']}',
            restoreTitle :    '
    {$lang['thumb_restore']}',
            focusTitle :      '
    {$lang['thumb_focustitle']}',
            loadingTitle :    '
    {$lang['thumb_cancel']}'
        };
    </script>
    {$pm_alert}
    HTML;

    }

    $tpl->set('{AJAX}'$ajax);
    $tpl->set('{headers}'$metatags);

    $tpl->set('{content}'"<div id='dle-content'>".$tpl->result['content']."</div>");
    $tpl->set('{THEME}'$config['http_home_url'].'templates/'.$config['skin']);


    $tpl->compile('main');

    if (
    $replace_url$tpl->result['main'] = str_replace($replace_url[0], $replace_url[1], $tpl->result['main']);

    echo 
    $tpl->result['main'];
    $tpl->global_clear();
    $db->close();

    echo
    "\n<!-- DataLife Engine Copyright SoftNews Media Group (http://dle-news.ru) -->\r\n";

    GzipOut();
    ?>
    Пользуюсь действительно через тотал командер...

    Вспомнил вот еще что: есть еще один сайт на этом же хосте на ДЛЕ и у него недавно права на файлы слетели...
    Вот здесь это спрашивал: Перейти по ссылке

    Может хост ломанули и через соседей...?

    Пароли поменяю. Двиг переустановлю.
     
  4. nubic

    nubic

    Регистр.:
    29 май 2008
    Сообщения:
    382
    Симпатии:
    151
    да нет не через соседей а скорее всего через тебя и ломанули червем возможно ифрейм посадили и не удивляйся если порно субдомен потом найдешь так что чисти комп меняй пароли и дистрибутив двига на сайте
     
    megafreeman нравится это.
  5. Ichigo

    Ichigo Создатель

    Регистр.:
    30 авг 2008
    Сообщения:
    33
    Симпатии:
    2
    тоже такое было, оказалось причиной был вредоносный скрипт... для решения создал бэккап бд и обновил файлы движка
     
    megafreeman нравится это.
  6. yura

    yura

    Регистр.:
    6 апр 2006
    Сообщения:
    437
    Симпатии:
    65
    орентраф, на скок я помню, прописывается не только а индексе... Стоит еще посмотреть и в кеше, баннерах,...
     
    megafreeman нравится это.
  7. Хортица

    Хортица Прохожие

    Эта зараза залезает на сайты через хостинг. ДЛЕ и шаблоны тут не причем - 100%. Сам уже неоднократно встречался с этой бедой. Лезет она куда ни попадя.

    Советы просты:
    1) НА своей машине хороший антивирус + firewall
    2) Меняешь все пароли и доступы
    3) Меняешь хостинг
    4) Переустанавливашь все с нуля

    А если проект не новый, тогда нужно прилично мучаться...
     
  8. MiXeR

    MiXeR Прохожие

    И не сохранять пароли в тотале, по возможности.
    Проще их тягать из текстового файла, чем отдавать тоталу в распоряжение.
     
  9. megafreeman

    megafreeman Читатель

    Заблокирован
    Регистр.:
    8 июн 2008
    Сообщения:
    164
    Симпатии:
    137
    Переустановил антивирус. Теперь Касперский 8. Установил Outpost Firewall.

    Залез на кидалово-партнерку http://popcash.ru/Подробнее об кидалове тут http://www.nulled.ws/showthread.php?t=87866

    Антивирус сразу же вылез с окошком и говорит что опера пытается загрузить вышеупомянутый http://beshragos.com/work/getfile.php?f=vispdf
    Логин и пароль в этой партнерке абсолютно никак не связаны с паролями к сайту и фтп...

    Получается эта зараза с этой партнерки......:mad:
     
  10. Хортица

    Хортица Прохожие

    Вот и нашлась истинная причина.
    Топик закрываю.
     
Статус темы:
Закрыта.