Baswell 0 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Здравствуйте! 2ю неделю борюсь с вирусами на DLE, толку 0. Никак не могу найти где. В админке удалить получилось, троян сидел в main.php А вот при входе на сайт постоянно експлойты. Подгружаются в конце кода страницы, а где прописаны не имею представления. 100% козни прошлого владельца, так что сидеть могут где угодно... Суппорт хостинга тоже помочь ничем не может. Подскажите пожалуйста что можно сделать. Спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
revix.ru 0 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 посмотри в index.php и меняй все пароли фтп Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Baswell, на сайт модули ставились? Цитата Ссылка на сообщение Поделиться на других сайтах
Baswell 0 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Автор revix.ru, в индексе вроде все чисто, пароли поменены. lifestar, возможно, но в папке modules ничего особенного не видно.. Цитата Ссылка на сообщение Поделиться на других сайтах
AshaS 2 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Baswell, на сайт модули ставились? Скажите, а как пользоваться антивирусом который в движке и что делать потом если выдаёт неизвестен дистрибутиву Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 AshaS, если файл неизвестен дистрибутиву, то это означает, что стоит файл, который не принадлежит чистому дистрибутиву. Это либо дополнительный модуль, либо чужой файл, который надо удалить Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Baswell, я почему спрашивал. Если нет модулей, то замените все файлы на файлы из дистрибутива. Вы говорите старый хозяин возможно "работает"? Я уже писал про инструменты внедрения в моды подозрительных кусков кода. Так ничто не мешало старому хозяину оставить чёрный ход. на всякий случай Цитата Ссылка на сообщение Поделиться на других сайтах
omvitamin 0 Опубликовано: 18 февраля 2008 Рассказать Опубликовано: 18 февраля 2008 Похоже на бэкдор. Проверяй все файлы, или заливай двиг заново. Цитата Ссылка на сообщение Поделиться на других сайтах
AshaS 2 Опубликовано: 19 февраля 2008 Рассказать Опубликовано: 19 февраля 2008 AshaS, если файл неизвестен дистрибутиву, то это означает, что стоит файл, который не принадлежит чистому дистрибутиву. Это либо дополнительный модуль, либо чужой файл, который надо удалить А как узнать что лишнее? Извиняюсь конечно если дурацкие вопросы задаю. Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 19 февраля 2008 Рассказать Опубликовано: 19 февраля 2008 А как узнать что лишнее? Извиняюсь конечно если дурацкие вопросы задаю. Ну если Вы не ставили модулей дополнительных, то все то, что показывает антивирус смело удаляйте. А если ставили, то извольте помнить название файлов которые загрузили на сервер. Цитата Ссылка на сообщение Поделиться на других сайтах
AshaS 2 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 А как узнать что лишнее? Извиняюсь конечно если дурацкие вопросы задаю. Ну если Вы не ставили модулей дополнительных, то все то, что показывает антивирус смело удаляйте. А если ставили, то извольте помнить название файлов которые загрузили на сервер. Так если я удалю, то потом сайт вообще перестанет работат! Или чтото другое сделать надо? И что означает в движке сделать снимок Например вот что у меня обнаружилось : Цитата Ссылка на сообщение Поделиться на других сайтах
dataman 0 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 Ну а как на счёт ссылочки на сайт, где всё это имеет место происходить ? Baswell, Вы пишите в индексе вроде все чисто, пароли поменены. Вопрос. Какие именно пароли поменяны ? Все 100% ??? Полагаю - На админдоступ к сайту , на базу MySQL, на доступ по FTP (или как вы там к файлам своим достукиваетесь) Заменён mail админа сайта. Всё , что ранее было получено от хостера также заменено вами ПОСЛЕ последнего вычисления зловредного кода. Ничего не упустил ? Цитата Ссылка на сообщение Поделиться на других сайтах
AshaS 2 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 в mysql вот что нашёл { die("Hacking attempt!"); } Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 Так если я удалю, то потом сайт вообще перестанет работат! Или чтото другое сделать надо? почему перестанет работать? те файлы на которые скрипт говорит "неизвестен дистрибутиву" означает что DLE не использует эти файлы в своей работе, т.е разработчиком они не предусмотрены. И что означает в движке сделать снимок означает что антивирус сделает снимок всех файлов и если в каком нибудь файле произойдет хоть малейшее изменение, то антивирус покажет данный файл Цитата Ссылка на сообщение Поделиться на других сайтах
Zergio 0 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 install.php и update.php ??? Офигеть, есть еще люди которые их на сайте держат. Прикольно. Цитата Ссылка на сообщение Поделиться на других сайтах
AshaS 2 Опубликовано: 21 февраля 2008 Рассказать Опубликовано: 21 февраля 2008 (изменено) install.php и update.php ??? Офигеть, есть еще люди которые их на сайте держат. Прикольно. А ты попробуй зайди ко мне на install и поймаешь подарок от меня. А если серьёзно, то там действительно не install, а прикол. Вобщем удалил mysql, parse.class, templatess.class. Ip.db это бан лист, licence это лицензия, horoscope это гороскоп, и остальное это фишки от меня на память. Изменено 21 февраля 2008 пользователем AshaS Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 21 февраля 2008 Рассказать Опубликовано: 21 февраля 2008 А ты попробуй зайди ко мне на installа как попробывать, если вы адрес не оставили? Цитата Ссылка на сообщение Поделиться на других сайтах
GVD 0 Опубликовано: 22 апреля 2008 Рассказать Опубликовано: 22 апреля 2008 У меня на сервере стоят DLE, CPG и phpbb 2.0.22 и на всех подвисает зараза под различными кодами. Хостер km.ru (бесплатный), самостоятельной смены пароля для FTP нет, и смена пароля ничего не даст, т. к. чистка сайтов будет производиться с новым паролем, а это уже просто суход...а - нет смысла. Сдаётся мне, что вирь садит прога - вручную бы задолбался поганить файлы. Чищу сайты по одному - два раза на день, но... порожняк - через час они уже на прежних местах. Антивирус у меня DrWeb 4.44 не видит вирус, только Каспер огрызается в строке состояния. P.S. Km.ru, как бесплатный хостер, похоже загибается: прикрыл регистрацию новых сайтов, и до него не достучаться... Нужен нормальный (но недорогой хостер, до 200 Мб) может посоветует кто-нибудь? Цитата Ссылка на сообщение Поделиться на других сайтах
IT-Security 33 Опубликовано: 23 апреля 2008 Рассказать Опубликовано: 23 апреля 2008 Есть вариант у меня в подписи. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.