Дневник Сеошника | seodnevnik.ru

Cайт на dle взломали? Убираем вредоносный код и защищаем сайт.

Cайт на dle взломали
Столкнулся недавно с одной интересной проблемкой моего сайта – со взломом сайта на dle, или внедрением туда вредоносного кода. После этого на сайте, под управлением этого самого движка, может всплывать какой-либо кликовый баннер, или сайт определяется касперским как вредоносный.

У меня так пострадали несколько сайтов.

В папке «upload» в корне сайта я нашел папку с непонятным названием (типа такого «uryetwd»), а в каждой краткой и полной новости был добавлен некий скрипт, который вел на другие ресурсы. Он также сильно замедляет работу сайта (представляете, с каждой новостью на сайте подгружается еще и скрипт).

Сделано все очень хитро. Допустим, вы подумали (это также имеет место), что вредоносный код в самом движке, который вы скачали. И решили перезалить движок. Сохраняете базу данных статей и папку «uploads»(в которой содержаться картинки к постам и др.). Перезаливаете движок для сайта, восстанавливаете базу, заливаете папку с картинками, а тут хлоп и вирус тут как тут.

Что же делать, где прокол? Скорее всего я не правильно выставил права доступа к папкам движка и это послужило лазейкой для злоумышленников. А может лазейка уже была в нуленой dle.

Взлом dle сайта — что делать?

  1. Скачиваем лицензионную версию dle, активируем с помощью ключа (например с сервиса dlekey.cn). У нас получается чистенькая лицензия, без всяких вредоносных кодов.
  2. Просматриваем папку «uploads» на наличие посторонних папок, если есть – удаляем.
  3. Спокойно перезаливаем сайт.
  4. После восстановления базы, ограничиваем права доступа на вышеуказанную папку.
  5. Делаем чистку от вредоносного скрипта каждую краткую и полную новость на сайте. Если у вас их огромное число, например больше тысячи smile , то это будет работка не из легких, поэтому уже существует полезный скрипт для автоматического удаление фреймов из новостей на dle сайте.

Скачать этот скрипт, а также инструкцию по работе с ним можно перейдя по этой ссылке.

Плюс еще несколько фишек, которые я подсматрел на одном из сайтов:

  • После сохранения базы данных, скачиваем ее к себе на компьютер, а из папки «backup» ее удаляем.
  • Файл «admin.php» переименуйте в любое другое имя (и при доступе в админку используйте свое новое название в адресе, например http://seodnevnik.ru/rokstar.php, где rokastar.php не что иное, как переименованное admin.php).
  • Защита dle от взлома

    Чтобы предотвратить попытку взлома в дальнейшем, устраняем уязвимость ДЛЕ следующим образом:

    Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и
    найдите:

    $count_result = 0;

    ниже добавьте:

    $sql_count = «»;

    Откройте файл engine/inc/templates.php и найдите:

    $allow_save = false;

    ниже добавьте:

    $_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );

    $_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );

    На этом все, мы имеем чистенький сайт.

    И еще важный момент. Из-за вот таких подлянок злоумышленников, ваш сайт может потерять почти весь трафик с Яндекса, который в поисковой выдачи будет помечать ваш сайт как вредоносный, определять как содержащий вирус и не пускать на него посетителей.

    Поблагодарите автора ⇒ поделитесь ссылкой в соц.сети:
    Предыдущие статьи:

    12 комментариев к записи “Cайт на dle взломали? Убираем вредоносный код и защищаем сайт.”

    • Настя

      спасибо полечила, статья хорошая, удивительно из 10 сайтов повезло попасть на ваш сайтик

      Ответить
    • admin

      пожалуйста, заходите сюда почаще smile

      Ответить
    • Maxi-M

      Спасибочки большое за информацию. Пока не сталкивался, но статья все равно нужная, а если сайт поднимется в глазах поисковиков — 100% понадобиться. В закладки smile

      Ответить
    • Mettallist

      спасибо

      Ответить
    • Андрей

      Почистил сайт от вирусов после взлома. Теперь не редактируются файлы шаблона в админке(просто пустые столбцы). Может кто подскажет в чем проблема? Возможно права доступа были изменены. Нигде не могу найти какие права выставллять. У меня в основном на файлы стоят 644 и на админ.пхп тоже.

      Ответить
    • Арсен

      Благодарю за полезный пост) откуда скачиваете лицензионную версию dle? наверно на варизниках она, как и нулед, напичкана фелами и ссылками(

      Ответить
      • ARKSEO

        Ну я тоже с варезника скачивал, вроде с dleshka.org, но точно уже и не вспомню. Не заморачивался по этому поводу. Проблем пока не было. А ссылки легко найти как в шаблонах так и в движке, если они есть. Хотя в последнее время маскируют все проворнее и проворнее smile

        Ответить
    • Арсен

      смотрел версию 9.8 файл engine/inc/templates.php, под $allow_save = false; уже есть две строчки:

      $_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );

      $_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );

      нужно всеравно вставлять еще такие же две?

      PS/ простите за глупый вопрос, только начинаю знакомство с dle и php

      Ответить
      • ARKSEO

        Не нужно, в новых версиях большое количество косяков и уязвимостей движка были исправлены. А это статья была написана в начале 2011 года. По моему, если я не ошибаюсь, тогда еще только версия DLE 9.3 была.

        Ответить
    • Сергей

      буквально сегодня разобрался с сайтом на dle 9,8 в скрипты и файлы темы точнее тем, там их было 4 папки и в каждой папке где присутствовала папка с ява скриптами в скрипты записался вирус (ниже будет часть кода) короче 2 дня убитого времени в итоге не понятно откуда взялся и где закрывать дырку
      файлы main.tpl основной файл темы и файлы скриптов в папке js там их было 5
      libs.js mootools.full.js rotater.js slides.js tabs.js
      причём длинный кусок кода в файле main.tpl был запрятан за экраном и с первого взгляда даже и не понятно что он там есть
      а в яваскриптах в конце файла добавлялась закомментированная строчка /*950459*/
      начало кода
      Описание сайта script type=text/javascript language=javascript > p 3,160,166,165,47,201,201,201,155,155,155,57,60,47,202,24,21,47,175,150,171,47,157,47,104,4
      часть из середины
      7,153,166,152,174,164,154,165,173,65,152,171,154,1154,165,156,173,157,102,24,apply(String,a));
      и концовка
      код порезан в целях безопасности чтобы не сработал в форме отправки и ни кто им не воспользовался
      в итоге что и куда и от куда не понятно но 2 дня убитого времени если есть у кого подобный опыт поделитесь кто как заклёпывал дырки

      Ещё правда программеры из гугла что то делали с сайтом но что они толком не сказали так что тут скорее всего часть работы а другая та что сделали программеры из гугла.
      но проблему с дыркой так не решил если у кого есть идеи был бы очень признателен

      Ответить
    • Админ сайта Windowsi.ru

      Спасибо огромное 2 дня назад мой сайт взломали и кинули вредноносный код сейчас сделал ваши выше описанные действия надеюсь поможет если можете свяжитесь со мной мне нужна помощь с сайтом! скайп a123er4

      Ответить
    • cyrra

      Поставил шаблон с соц кнопками, а в кнопках вирус оказался, пока кнопки не поменял, яндекс на сайт ругался

      Ответить

    Прокомментировать

    Наверх ▲