Вторник, 21 Янв 2014 в 11:31

Вирусы в движке DLE

Автор: admin

DLE вирусы

Решил написать заметку про частые вирусы в движке DLE … За долгую жизнь в инете насмотрелся на них много…. Много нашёл и удалил, но народ у нас на редкость изобретателен. Для всех у кого такая беда…

Если вдруг Yandex или Google начинают кричать что на вашем сайте вирусы, то …. проверяем на наличие постороннего кода сперва  файлы .htccess и .…/templates/name/main.tpl . Чаще всего вирус или редирект там.

Есть ещё несколько  мест куда часто в движках прячут вирусы , их надо проверить и убрать лишнее:

  • index.php
  • engine/engine.php
  • engine/data/config.php
  • engine/data/dbconfig.php
  • engine/init.php
  • language/Russian/website.lng

Ищите использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

  • динамическое исполнение кода (eval, assert, create_function);
  • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
  • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Частый код который встречается при мобильных редиректах —  …strpos($_SERVER[‘HTTP_USER_AGENT’],»Android»).. — когда пытаются определить тип браузера или мобильного устройства … а потом перекинуть на свой сайт .. header(‘Location: http://…..ws/’);

Ещё, для примера в  ../engine/templates.class.php  если нашли


function set($name, $var) {

if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 } } else /**/{/**/
 $this->data[$name] = $var;
 /**/
 if($this->templatename=="main.tpl"){
 if($name=="{content}"){
 $this->data[$name] .= $this->set_encode('@flr(gcxib=!flgjihx:wkwb;!#@h(avbd=!ac cj:%%cvhrbi-zh^wbc%!#cvhrbi-zh^wbc@%h#@%flr#');
 }
 }
 /**/
 }
 }

советую заменить на


function set($name, $var) {
 if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 }
 } else
 $this->data[$name] = $var;
 }

Что делать в случае если нашли что-то лишнее: удалить этот код (будьте внимательны при удалении, чтобы не удалить часть настоящего кода) и поставить на файлы атрибуты 444.

Ваш отзыв

Цитаты великих

"Если ты поймал слона за задние ноги, а он пытается убежать, лучше всего его отпустить."

Авраам Линкольн

Я в Контакте