[WebNetc]

Уже довольно часто мои сайты атакуют, поэтому хотелось бы обратиться к тем, кто проф. этим занимается.
Если здесь есть такие - прошу помочь. Денег заплачу, если в этом проблема.

Суть:
Движок DLE.

Недавно сайт в поиске начал помечаться, как "угрожает опасности". Зашел с телефона, отдает мидлет при загрузке сайта.

Переустановил движок(не нуллед, оф. версия). Редирект пропал.

Получается в каком-то файле есть код, который записывает в опред. файл редирект. Откуда файл? Сайт был куплен мной пару месяцев назад. В свое время стоял на юкозе, и был перенесен на дле бывшим владельцем. Трафик у меня в плюс пошел со вчерашнего апа, при чем >100%. Поэтому нужно поскорей избавиться от проблемы, пока это не нанесло дополнительный вред.

[Dvoryashin]

htaccess смотрели?

[CuxpecT]

прописывается либо в аватарах (там дыра есть), либо в language файлах (скорее всего тут, сам отсюда убирал в последний раз). если сам не разберёшься и не очень срочно, то могу посмотреть во вторник с утра

[WebNetc]

CuxpecT, я в данный момент удалил абсолютно все файлы, оставив ток папку uploads.
Движок залил последней версии, а файлы от юкоза из бекапа 3 месячной давности, тогда редиректа не было.

Редиректа в данный момент нет. Но тут надо посмотреть, что будет через 2 дня. Потому что тогда его тоже не было..

[CuxpecT]

заливают через дыру в файлах аватаров, прописывается в .lng файлах + иногда в php (в дле до 10.0 точно). закрывать дыру скорее всего придётся ручками. я примерно по такому мануалу делал:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

уже полгода всё спокойно

[WebNetc]

CuxpecT, посмотрел

@rename( ROOT_DIR . "/uploads/fotos/" . $id . "." . $type, ROOT_DIR . "/uploads/fotos/foto_" . $id . "." . $type );

версия 10.1 - этой строки нигде нет.

[WebNetc]

WebNetc, редирект снова поставился. Попробую найти код и перенести на другой серв.

---------- Сообщение добавлено 21:28 ---------- Предыдущее 20:21 ----------

Написал администраторам сервера с проблемой, мне озвучили ответ:

Если ваш сайт внедрён бэкдор через который взламывают, то куда бы не ущли - не поможет.

Замена паролей и удаление последствий не помогает, не устраняется причина, только последствия.

Наймите программиста который изучит ваш сайт и найдет все шелл скрипты, которые у вас 100% есть.

Просьба, если есть тот, кто прошарен - отозваться.

[Upsa]

WebNetc,
Читай тут:
http://dle-shop.ru/news-and-other/17...-borotsya.html

Ломают тебя на автомате скорее всего. Твои деньги нужны не только тебе ))))

---------- Сообщение добавлено 22:15 ---------- Предыдущее 22:13 ----------

Хочешь найти все шелы сам - глянь куда редиректит твой мобильник. Запусти поиск по коду сайта - возможно там прописан URL в явном виде и ты сразу найдешь все точки внедрения...

Ну а дальше - латаешь лом, удаляешь шелы, анализируешь apache логи... Мир друба жвачка!

[DOleg]

Upsa, всё у вас так легко, всего один способ взлома. А других нет? Или вы уверены в том, что ТС ломают именно вашим методом?
И кстати, читайте перед ответом всю ветку, возможно ваш ответ уже звучал... Например тут.

[Upsa]

DOleg,

Ну Вы же понимаете, что для этого нужно как минимум проанализировать двиг сайта, лог сервера.

Как взломали, чем и т.д. Сделать выводы - закрыть дырку. Убедится что через пару часов опять не взломают.

Наиболее часто употребляемый ля 10.1, взлом через аватарку: в этом случае заливка старых файлов не поможет - так как дырка осталась... )

---------- Сообщение добавлено 22:45 ---------- Предыдущее 22:42 ----------

Я смотрю с DLE прямо беда сейчас... хоть кидай все и начинай заниматься его безопасностью - естественно не бесплатно )))

PS. История с DLE сейчас напоминает то же самое что было с php-nuke лет 5 назад.