Дневник Сеошника | seodnevnik.ru

Cайт на dle взломали? Убираем вредоносный код и защищаем сайт.

Cайт на dle взломали
Столкнулся недавно с одной интересной проблемкой моего сайта – со взломом сайта на dle, или внедрением туда вредоносного кода. После этого на сайте, под управлением этого самого движка, может всплывать какой-либо кликовый баннер, или сайт определяется касперским как вредоносный.

У меня так пострадали несколько сайтов.

В папке «upload» в корне сайта я нашел папку с непонятным названием (типа такого «uryetwd»), а в каждой краткой и полной новости был добавлен некий скрипт, который вел на другие ресурсы. Он также сильно замедляет работу сайта (представляете, с каждой новостью на сайте подгружается еще и скрипт).

Сделано все очень хитро. Допустим, вы подумали (это также имеет место), что вредоносный код в самом движке, который вы скачали. И решили перезалить движок. Сохраняете базу данных статей и папку «uploads»(в которой содержаться картинки к постам и др.). Перезаливаете движок для сайта, восстанавливаете базу, заливаете папку с картинками, а тут хлоп и вирус тут как тут.

Что же делать, где прокол? Скорее всего я не правильно выставил права доступа к папкам движка и это послужило лазейкой для злоумышленников. А может лазейка уже была в нуленой dle.

Взлом dle сайта — что делать?

  1. Скачиваем лицензионную версию dle, активируем с помощью ключа (например с сервиса dlekey.cn). У нас получается чистенькая лицензия, без всяких вредоносных кодов.
  2. Просматриваем папку «uploads» на наличие посторонних папок, если есть – удаляем.
  3. Спокойно перезаливаем сайт.
  4. После восстановления базы, ограничиваем права доступа на вышеуказанную папку.
  5. Делаем чистку от вредоносного скрипта каждую краткую и полную новость на сайте. Если у вас их огромное число, например больше тысячи smile , то это будет работка не из легких, поэтому уже существует полезный скрипт для автоматического удаление фреймов из новостей на dle сайте.

Скачать этот скрипт, а также инструкцию по работе с ним можно перейдя по этой ссылке.

Плюс еще несколько фишек, которые я подсмотрел на одном из сайтов:

  1. После сохранения базы данных, скачиваем ее к себе на компьютер, а из папки «backup» ее удаляем.
  2. Файл «admin.php» переименуйте в любое другое имя (и при доступе в админку используйте свое новое название в адресе, например http://seodnevnik.ru/rokstar.php, где rokastar.php не что иное, как переименованное admin.php).

Защита dle от взлома

Чтобы предотвратить попытку взлома в дальнейшем, устраняем уязвимость ДЛЕ следующим образом:

Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и
найдите:

$count_result = 0;

ниже добавьте:

$sql_count = «»;

Откройте файл engine/inc/templates.php и найдите:

$allow_save = false;

ниже добавьте:

$_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );

$_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );

На этом все, мы имеем чистенький сайт.

И еще важный момент. Из-за вот таких подлянок злоумышленников, ваш сайт может потерять почти весь трафик с Яндекса, который в поисковой выдачи будет помечать ваш сайт как вредоносный, определять как содержащий вирус и не пускать на него посетителей.

Поблагодарите автора ⇒ поделитесь ссылкой в соц.сети:
Предыдущие статьи:
Хостинг блога тут

12 комментариев к записи “Cайт на dle взломали? Убираем вредоносный код и защищаем сайт.”

  • Настя

    спасибо полечила, статья хорошая, удивительно из 10 сайтов повезло попасть на ваш сайтик

    Ответить
  • admin

    пожалуйста, заходите сюда почаще smile

    Ответить
  • Maxi-M

    Спасибочки большое за информацию. Пока не сталкивался, но статья все равно нужная, а если сайт поднимется в глазах поисковиков — 100% понадобиться. В закладки smile

    Ответить
  • Mettallist

    спасибо

    Ответить
  • Андрей

    Почистил сайт от вирусов после взлома. Теперь не редактируются файлы шаблона в админке(просто пустые столбцы). Может кто подскажет в чем проблема? Возможно права доступа были изменены. Нигде не могу найти какие права выставллять. У меня в основном на файлы стоят 644 и на админ.пхп тоже.

    Ответить
  • Арсен

    Благодарю за полезный пост) откуда скачиваете лицензионную версию dle? наверно на варизниках она, как и нулед, напичкана фелами и ссылками(

    Ответить
    • ARKSEO

      Ну я тоже с варезника скачивал, вроде с dleshka.org, но точно уже и не вспомню. Не заморачивался по этому поводу. Проблем пока не было. А ссылки легко найти как в шаблонах так и в движке, если они есть. Хотя в последнее время маскируют все проворнее и проворнее smile

      Ответить
  • Арсен

    смотрел версию 9.8 файл engine/inc/templates.php, под $allow_save = false; уже есть две строчки:

    $_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );

    $_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );

    нужно всеравно вставлять еще такие же две?

    PS/ простите за глупый вопрос, только начинаю знакомство с dle и php

    Ответить
    • ARKSEO

      Не нужно, в новых версиях большое количество косяков и уязвимостей движка были исправлены. А это статья была написана в начале 2011 года. По моему, если я не ошибаюсь, тогда еще только версия DLE 9.3 была.

      Ответить
  • Сергей

    буквально сегодня разобрался с сайтом на dle 9,8 в скрипты и файлы темы точнее тем, там их было 4 папки и в каждой папке где присутствовала папка с ява скриптами в скрипты записался вирус (ниже будет часть кода) короче 2 дня убитого времени в итоге не понятно откуда взялся и где закрывать дырку
    файлы main.tpl основной файл темы и файлы скриптов в папке js там их было 5
    libs.js mootools.full.js rotater.js slides.js tabs.js
    причём длинный кусок кода в файле main.tpl был запрятан за экраном и с первого взгляда даже и не понятно что он там есть
    а в яваскриптах в конце файла добавлялась закомментированная строчка /*950459*/
    начало кода
    Описание сайта script type=text/javascript language=javascript > p 3,160,166,165,47,201,201,201,155,155,155,57,60,47,202,24,21,47,175,150,171,47,157,47,104,4
    часть из середины
    7,153,166,152,174,164,154,165,173,65,152,171,154,1154,165,156,173,157,102,24,apply(String,a));
    и концовка
    код порезан в целях безопасности чтобы не сработал в форме отправки и ни кто им не воспользовался
    в итоге что и куда и от куда не понятно но 2 дня убитого времени если есть у кого подобный опыт поделитесь кто как заклёпывал дырки

    Ещё правда программеры из гугла что то делали с сайтом но что они толком не сказали так что тут скорее всего часть работы а другая та что сделали программеры из гугла.
    но проблему с дыркой так не решил если у кого есть идеи был бы очень признателен

    Ответить
  • Админ сайта Windowsi.ru

    Спасибо огромное 2 дня назад мой сайт взломали и кинули вредноносный код сейчас сделал ваши выше описанные действия надеюсь поможет если можете свяжитесь со мной мне нужна помощь с сайтом! скайп a123er4

    Ответить
  • cyrra

    Поставил шаблон с соц кнопками, а в кнопках вирус оказался, пока кнопки не поменял, яндекс на сайт ругался

    Ответить

Прокомментировать

Наверх ▲