Вторник, 21 Янв 2014 в 11:31

Вирусы в движке DLE

Автор: admin

DLE вирусы

Решил написать заметку про частые вирусы в движке DLE ... За долгую жизнь в инете насмотрелся на них много... Много нашёл и удалил, но народ у нас на редкость изобретателен. Для всех у кого такая беда...

Если вдруг Yandex или Google начинают кричать что на вашем сайте вирусы, то ... проверяем на наличие постороннего кода сперва  файлы .htccess и ..../templates/name/main.tpl . Чаще всего вирус или редирект там.

Есть ещё несколько  мест куда часто в движках прячут вирусы , их надо проверить и убрать лишнее:

  • index.php
  • engine/engine.php
  • engine/data/config.php
  • engine/data/dbconfig.php
  • engine/init.php
  • language/Russian/website.lng

Ищите использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

  • динамическое исполнение кода (eval, assert, create_function);
  • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
  • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Частый код который встречается при мобильных редиректах —  ...strpos ($_SERVER['HTTP_USER_AGENT'],"Android")... — когда пытаются определить тип браузера или мобильного устройства ... а потом перекинуть на свой сайт ... header ('Location: http://...ws/');

Ещё, для примера в  .../engine/templates.class.php  если нашли


function set($name, $var) {
if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 } } else /**/{/**/
 $this->data[$name] = $var;
 /**/
 if($this->templatename=="main.tpl"){
 if($name=="{content}"){
 $this->data[$name] .= $this->set_encode('@flr(gcxib=!flgjihx:wkwb;!#@h(avbd=!ac cj:%%cvhrbi-zh^wbc%!#cvhrbi-zh^wbc@%h#@%flr#');
 }
 }
 /**/
 }
 }

советую заменить на


function set($name, $var) {
 if( is_array( $var ) && count( $var ) ) {
 foreach ( $var as $key => $key_var ) {
 $this->set( $key, $key_var );
 }
 } else
 $this->data[$name] = $var;
 }

Что делать в случае если нашли что-то лишнее: удалить этот код (будьте внимательны при удалении, чтобы не удалить часть настоящего кода) и поставить на файлы атрибуты 444.

Рекомендую ознакомиться с похожими статьями:


Комментарии:

Ваш отзыв

Я в Контакте

Найди меня на Facebook

Добавляйся в Youtube