X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Нужна помощь в удалении шелл-скрипта, DLE
Lugansta
Lugansta
Topic Starter сообщение 18.1.2015, 15:12; Ответить: Lugansta
Сообщение #1


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 5.12.2011
Поблагодарили: 9 раз
Репутация:   1  


Здравствуйте. Сегодня решил проверить сайт на сторонние скрипты, с помощью "ai-bolit". Результат проверки огорчил.На скриншоте все видно.

Я в этом не силён, посоветуйте что делать. Если есть умельцы, и кто-то возьмётся помочь за определённое вознаграждение, буду рад.

Сообщение отредактировал Lugansta - 18.1.2015, 15:25
Эскизы прикрепленных изображений
Прикрепленное изображение
 
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
shansick
shansick
сообщение 18.1.2015, 15:35; Ответить: shansick
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 641
Регистрация: 3.10.2008
Из: Россия
Поблагодарили: 241 раз
Репутация:   42  


Ну тут и удалять то нечего, просто возьмите чистые файлы из дистрибутива и замените ими зараженные. Другой вопрос, найти уязвимость в движке или модуле, с помощью которой вам их залили...

Сообщение отредактировал shansick - 18.1.2015, 15:35


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dimonsuper
dimonsuper
сообщение 18.1.2015, 15:36; Ответить: dimonsuper
Сообщение #3


Honda!
******


Группа: Active User
Сообщений: 1849
Регистрация: 30.10.2009
Из: Беларусь, г.Борисов
Поблагодарили: 718 раз
Репутация:   173  


помогу пишите в аську. 161070147


--------------------
куплю домены с тиц. с предложениями в лс


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
сообщение 18.1.2015, 15:43; Ответить: mmkulikov
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 2027
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Цитата(Lugansta @ 18.1.2015, 13:12) *
посоветуйте что делать

В первую очередь сменить все пароли на хостинге.
Я такую же "дрянь" забодался удалять, пока не поменял
все пароли на фтп (заодно все левые записи фтп доступа удалил)


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Lugansta
Lugansta
Topic Starter сообщение 18.1.2015, 16:40; Ответить: Lugansta
Сообщение #5


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 5.12.2011
Поблагодарили: 9 раз
Репутация:   1  


shansick по Вашему совету заменил файлы, потом снова проверил, в init.php не стало ошибки но в feedback.php осталось.

dimonsuper Вам постучал, тишина.

Изменил везде пароли по совету от mmkulikov

Спасибо за отклик всем.
Будем что-то думать дальше...

Сообщение отредактировал Lugansta - 18.1.2015, 16:40
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kauak
kauak
сообщение 18.1.2015, 16:48; Ответить: kauak
Сообщение #6


Участник
***

Группа: User
Сообщений: 247
Регистрация: 30.10.2011
Из: Украина
Поблагодарили: 46 раз
Репутация:   17  


Настоятельно рекомендую не использовать всякие NULL, скаченные с фиг пойми каких источников.
1. Меняйте все пароли, сканируйте антивирусом ПК(всем у кого есть доступ).
2. Делаем бекап базы данных, шаблона и папки uploads. (При этом посмотреть на наличии подозрительных файлов)
3. Скачиваем чистый актуальный дистрибутив с официального сайта. И переносим сайт.
4. Радуемся :)

Сообщение отредактировал kauak - 18.1.2015, 16:57


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
belobokiy
belobokiy
сообщение 18.1.2015, 23:52; Ответить: belobokiy
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 78
Регистрация: 11.1.2015
Из: CCCP
Поблагодарили: 16 раз
Репутация:   -1  


Пока не раскодируете eval, нельзя точно сказать шелл или нет.
Сначала раскодируйте и потом посмотрите. Любой Антивирь будет ругаться на кодированный код.
Eval.JavaScript.Unpacker Вам в помощь.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 19.1.2015, 10:34; Ответить: Informator
Сообщение #8


Новичок
*

Группа: User
Сообщений: 18
Регистрация: 4.4.2012
Из: Узбекистан
Поблагодарили: 7 раз
Репутация:   1  


Цитата(Lugansta @ 18.1.2015, 16:12) *
Здравствуйте. Сегодня решил проверить сайт на сторонние скрипты, с помощью "ai-bolit". Результат проверки огорчил.На скриншоте все видно.

Я в этом не силён, посоветуйте что делать. Если есть умельцы, и кто-то возьмётся помочь за определённое вознаграждение, буду рад.


Не делайте поспешных выводов, если ai-bolit сработал - это не значит что файлы заражены. в вашем отчете я не вижу не малейшего беспокойства. Что вы увидели по пути ../engine/inc/include/init.php Это - хитрая кодировка ByteRun, DLE разрабы ее всегда используют. А, у вас это не нулл, а наверняка версия активированная ключом (не важно пиратским или лицензионным).

Сейчас не стоит беспокоиться.

Настройте правильно ai-bolit и проверьте, обязательно с базами.
в файле ai-boдit на константу AI_EXPERT обязательно укажите режим 2 Пример: define('AI_EXPERT', 2); и в индексе массива обазательно укажите сканировать все файлы scan_all_files => 1, после этого ложных срабатываний будет больше, но получите отчет более подробный.

А, сейчас невижу нечего вреданосного.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
storm_1978
storm_1978
сообщение 20.1.2015, 13:58; Ответить: storm_1978
Сообщение #9


Новичок
*

Группа: User
Сообщений: 17
Регистрация: 19.1.2015
Поблагодарили: 0 раз
Репутация:   0  


рядом в ветке советовал http://revisium.com - приличная контора.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 20.1.2015, 20:22; Ответить: kagtus
Сообщение #10


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


ТС, тут нечего удалять - это стандарные файлы dle, скачайте чистый движок с офф.сайта (ссылку могу скинуть) и сравните.
Не надо считать ай-болит панацеей от всех болезней вирусов. Он лишь предупреждает о вероятности, а проверить - ваша задача.

P.S. неужели только я знаю, что многие разработчики используют eval, base64 и другие подобные функции для шифрования своих файлов.

Сообщение отредактировал kagtus - 20.1.2015, 20:24


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Нужна помощь в активации аккаунта AdSense
10 dimaguru 2557 Сегодня, 11:12
автор: Ley
Открытая тема (нет новых ответов) Очень нужна работа
Желательно на постоянной основе
11 Yuliya_Klim 1724 11.12.2017, 19:26
автор: beliaev
Открытая тема (нет новых ответов) Нужна помощь с задачами по SEO
Звучит так себе конечно, однако очень нужна ваша помощь!!!
10 another_way 1522 25.11.2017, 13:35
автор: Bel_Ami
Открытая тема (нет новых ответов) envato market помощь в покупке
1 wagan 600 12.11.2017, 22:23
автор: EvilGomel
Открытая тема (нет новых ответов) Активация скрипта на статичном сайте
10 Art_of_Forex 1567 30.10.2017, 13:56
автор: x64


 



RSS Текстовая версия Сейчас: 15.12.2017, 23:55
Дизайн