Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы по PHP » Вирус 404.php

Вирус 404.php

     14.06.2013    Все вопросы » Общие вопросы по PHP    4035

вопрос
Делал полный backup сайта через FTP
В момент копирования антивирус Касперского обнаружил вирус расположенный в:
/engine/editor/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/ сам файл назывался 404.php весит около 64кб.

Антивирус сразу удалил вирус с компьютера даже не стал закидывать его на карантин.
С сервера файл 404.php был также сразу удален, поэтому сказать что за код был внутри не смогу.

Проверил предыдущие backup папки данный файл отсутствует.
Во всей папке /editor/ и ее под папках отсутствует файлы заглушки .htaccess правильно ли это?
Какие права лучше указать на папку /editor/?
И вообще как быть?

Ответа пока нет

 

10 комментариев

dj-avtosh
PHP-developer

dj-avtosh - 18 июня 2013 19:14 -

Для начала не сохранять пароли от фтп, особенно в FileZilla.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Gopr
Юзер

Gopr - 18 июня 2013 23:12 -

Да у меня как раз FileZilla :/
Yamakasi
Юзер

Yamakasi - 19 июня 2013 00:35 -

Gopr,
я ранее писал мануал по защите и поиску вирусов на старых версиях dle, вам залили шел и всунули в код казюльки ))) проверьте код.

вот ссылочка на скрипке: ЦЫК
Gopr
Юзер

Gopr - 19 июня 2013 01:44 -

Ваш мануал по защите и поиску вирусов отсутствует если пройти по указанной ссылке.
Он у вас остался еще где то, кроме этого файлового обменника?
Чуть ниже в комментариях указан оф адрес с патчем для 9.6, но у меня 9,7.
Все же проверил патч для 9.6 в итоге у меня не было пропиано 2го и 3го пункта!
Что касается про "Маленький фикс в безопасности DLE" так это учтено уже давно.
Yamakasi
Юзер

Yamakasi - 24 июня 2013 00:39 -

Gopr,
читаем тут тогда!
ЦЫКА
Gopr
Юзер

Gopr - 24 июня 2013 01:53 -

Спасибо это я уже пробовал, было проверено 2000+ файлов в том числе lng, js и даже css короче весь бекап.
Ни чего похожего не найдено из того, что сказано в данной инструкции. Проверял по HTTP_USER_AGENT, base64_decode, и адресам указанных в вредоносном коде. Да и к тому же у меня отключена мобильная версия сайта. Когда был обнаружен вирус у меня не стояли патчи: раз и два. В той ссылке что вы дали расписан способ закрытия дыры. На всякий случай я решил проверить и его. Делал поиск по @rename нашлось два скрипта highlight.code.js, tiny_mce.js и файл Logger.php. Проверил их даты через FTP, они соответствуют дате установки движка, так что с ними все норм. В предыдущих версиях бекапов выполняя поиск по @rename нашлись файлы описываемые в инструкции по закрытию дыры. Так что патчи с оф сайта dle сделали свое дело. Но так и не ясно как был залит файл 404.php
Gopr
Юзер

Gopr - 19 июля 2013 16:01 -

Сегодня был еще раз обнаружен файл 404.php в том же месте. На этот раз файл удалось поймать и закинуть в архив, так как антивирус Касперского люто ругается на него. Распознается как backdoor.php.webshell.fe весит 67.630 байт.
Для тех кто разбирается, залил сюда эту дрянь. В архиве будет переименованный файл 404.php на 1404.php, пароль от архива: 1
dj-avtosh
PHP-developer

dj-avtosh - 19 июля 2013 21:09 -

Бэкдур) куки воруют ;)
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Gopr
Юзер

Gopr - 20 июля 2013 01:32 -

Кому то нужен доступ (^_^) ха ха...
Что то на самом деле не смешно! Второй раз сюда заливают /engine/editor/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/
dj-avtosh
PHP-developer

dj-avtosh - 20 июля 2013 02:31 -

Никто не заливает. Не сохраняй пароль от фтп в клиенте, тогда вирус не попадёт таким макаром. Все логично и просто.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 03.07.2012 radonx  Общие вопросы по PHP
 09.04.2013 Andy80  Общие вопросы по PHP
 26.08.2013 Maarek  Общие вопросы по PHP
 29.08.2013 Maarek  Шаблоны (TPL), Общие вопросы по PHP
 22.05.2014 vahoto  Общие вопросы по PHP
 06.08.2014 ig55555or  Общие вопросы, Общие вопросы по PHP
 18.08.2014 tohenson  Общие вопросы по PHP, Модули
 01.12.2014 socgamer  Общие вопросы, Общие вопросы по PHP
 15.01.2015 kennius  Общие вопросы, Общие вопросы по PHP
 29.01.2015 b-en-der  Общие вопросы, Общие вопросы по PHP
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    Вчера, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:17
    фтп обычный юзер а не root
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:15
    дэк только так и загружаю
  • Gordi | Как реализовать шифрование трафика? 3
    Фото Gordi
    Gordi
    Как реализовать шифрование трафика?
    18-11-2024, 14:14
    я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:13
    Gordi,
    через фтп загружай
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:11
    Привет Николай!
    Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
    или направь на путь истинный, пжст
наверх