Dle вирусы в новостях
Как надоели эти вирусы в движке DLE. Если бы не эти вирусы, для меня движок бы этот был бы просто идеальный, так как в отличии от тех же CMS joomla, wordpress здесь очень легко добавлять новости, и для того кто начал только заниматься сайтостроительством этот движок очень прост.
Вот решил написать статью об этих вирусах, которые я ловил на своих сайтах, которые сделаны на CMS dle. Статью буду дополнять по мере заражения вирусами своих сайтов, что наверняка будет еще ни один раз. Также буду описывать как можно вылечить свой сайт от заражения. Самое главное правило, это конечно же всегда делайте бэкапы своего сайта, без этого вылечить иногда просто не возможно, так как всегда где то сидит эта зараза.
За время занятия сайтостроительством на dle, я заметил что вирусы могут быть абсолютно во всех вариациях файлов, это и php, и js и lng и jpeg. Обычно они в основном в файле php и js. Встречается левый код как в начале файла php, так и в конце, иногда бывает и в середине. Файлы js очень трудно очистить от вирусов поэтому лучше восстанавливать из копии сайта ( бэкапа). Многие хостинги автоматом делают бекапы, раз в три дня или даже каждый день. Все зависит от хостинга.
Вирусы иногда бывает очень сложно обнаружить, даже при скачивании вирусного архива, мой антивирусник не видит их. Так что, если вы заметили что ваш сайт долго грузится или антивирь начал ругаться на ваш сайт, для начала просто зайдите на свой хостинг и посмотрите на дату изменения файлов. Если вы обнаружите что файлы менялись буквально сегодня или вчера, тот же index.php, dbconfig.php, config.php, .htaccess, которые в принципе не должны меняться, или меняются только когда вы что-то обновляете или устанавливаете, тот же движок или модуль какой нибудь, то можно сразу предположить что в них сидит вирус. Иногда конечно бывает что сайт долго грузится, но уже не по причине вируса, а может просто хостинг лег;)
1. Это один из вирусов, который я обнаружил у себя на движке DLE 9.5. Касперский вирусный код не видит.
Появился левый код в начале файла index.php :
также вверху после строчки define ( 'DATALIFEENGINE', true ); появился код
В файле config.php появился код тот что сверху и еще внизу файла появился код ниже:
В файле dbconfig.php появился код в начале:
Лечение: просто удалите левый код и обновите движок, файлам поставьте права 444.
2. Было такое что в файле .htaccess в самом верху появились строчки
где-то в середине файла .htaccess также проверьте на наличие вот этого вредоносного кода
3. Взлом DLE загрузкой аватара с вредоносным кодом.
Вот эта напасть была на многих сайтах.
Автор этого вирусного кода tehApocalypse и если вы подхватили, вредоносный код, после удаления вируса заблокируйте этого автора. В DLE 9.8 дырку эту залатали, так что эта угроза существует для всех версий dle ниже этой. Понять, что вы заразились этим вирусным кодом очень сложно, так как его можно только обнаружить если вы зашли на свой сайт или с телефона на OS Android или с айфона, даже если вы зашли с планшетника, то будет все нормально, и перенаправления не будет.
При заходе на ваш сайт с iPhone посетителя перебрасывает на сайт злоумышленника.
При заходе на ваш сайт с телефона на OS Android, вам будет предложено скачать приложение, и после его установки, ваш телефон будет отправлять смс и соответственно ваш баланс быстро уйдет в ноль. Если вы все же скачали это вирусное приложение, ни в коем случае его не устанавливайте его.
Если ваш сайт начал терять посещаемость, первым делом обратите внимание на лечение этого вируса.
Вирусом заражаются файлы:
Если вы удалили весь вирусный код из этих файлов, а редирект все равно происходит с вашего сайта, то проверьте еще файл
Открываем эти файлы и удаляем код:
Другая вариация этого кода:
Проверьть файл language/Russian/website.lng после
нет ли вот такого кода:
Вредоносный код может дублироваться вначале, середине и в конце файлов.
У меня было такое, что код просто дублировался в одном и том же месте раз 5-6. Давно на фтп не заходил;)
Как вирус попадает на сайт?
В нескольких файлах, в которых мы можем редактировать профиль пользователя и загружать аватар для этого пользователя есть такой код:
Все дело в этой строчке:
Залатать дыру надо в 3-х файлах:
Теперь загрузить аватар с вредоносным кодом не получится.
Для проверки удаления полностью изо всех файлов вируса, надо зайти с айфона или андройда на ваш сайт, если перенаправления на сторонний сайт злоумышленника нету, то я вас поздравляю. Если редирект все равно происходит , то проверьте движок на ссылки:
А лучше обновите двиг DLE до последней версии.
Любителям пиратских бесплатных версий DLE посвящается.
Скачивая CMS DLE на сторонних ресурсах, будьте готовы к тому что в Вашей системе уже сидит троянский конь, ожидающий когда вы сделаете свой проект и получит к нему доступ (в лучшем случае). В худшем или удалит все или сделает тайные редиректы на другие сайты (обычно мобильные редиректы сайтов на DLE, так как такие администратор в 90% случаев не обнаруживает, ведь сам сидит с пк или планшета).
Итак, как понять что в вашей системе DLE есть вирус с редиректом мобильной версии?!
Один из вариантов - вы начали терять посещаемость. Как только вы это заметили, советуем обратить внимание на инструкцию по обнаружения вредоносного кода ниже, чтобы исключить вероятность взлома или заражения сайта.
Хотим обратить ваше внимание на то, что вредоносный код может быть практически во всех типах файлов движка, .php, .js, .lng, .htaccess и даже изображениях (зачастую аватары пользователей). Такой код может быть в любом виде, он может быть зашифрован base64_encode, использовать char и всякие приёмы, которые позволяют усложнить быстрое обнаружение по средствам автоматического поиска по нему. А может и банально быть в открытом виде (редкие случаи).
Отметим что зачастую файлы очистить довольно не просто (не зная что в коде движка не на своем месте или лишнее). Лучше использовать программы для сравнения кода, к примеру если вы все же взялись за ум и купили лицензию у разработчика DLE, вы можете сверить код лицензионной версии движка и ваш с помощью пакетной проверки программы Beyond Compare. Так можно найти разницу в коде и найти ваш вирус.
Конечно поможет это только если вы не изменяли свой движок сторонними модулями или использовали плагины. И точно не поможет если вредоносный код находится в аватарах пользователей.
В актуальных версиях DLE устранена уязвимость с загрузкой аваторов, но версии до DLE 9.8 ее имеют.
Чтобы найти троянские аватары пользователей, установите на свой сервер антивирус Virusdie и он найдет изображения которые ими не являются.
Если Вас уведомили или вы заметили сами что ваш сайт долго грузится, куда-то редиректит или антивирус / поисковая система начали ругаться на ваш ресурс, для начала просто зайдите на свой хостинг и посмотрите на дату изменения файлов. Если вы заметите что файлы менялись в последнее время, зачастую это /index.php, /engine/data/dbconfig.php, /engine/data/config.php, /.htaccess, /language/Russian/website.lng, которые в принципе не должны меняться, или меняются только когда вы что-то обновляете или устанавливаете, то с большой вероятностью можем вас порадовать - сайт заражен.
Не забывайте также что сайт может долго грузиться и потому что у вас слабый хостинг, шаблон напичкан скриптами и не оптимизирован и ряд подобных причин. Но лучше перестраховаться, не так ли?!
Советуем искать не по полному совпадению, а по частичному.
1. engine/inc/addnews.php - наличие вредоносного кода
2. engine/classes/antivirus.class.php - исключен файл которого там не должно быть, как выяснилось, этот файл - уязвимость
3. engine/classes/min/.htaccess - наличие исключений которые открывают дорогу файлу с уязвимостью
4. engine/classes/min/lib/JSMinify.php - вредоносный файл, не входящий в дистрибутив системы и не являющийся частью дополнений
5. engine/modules/calendar.php - наличие вредоносного кода
6. engine/modules/feedback.php - наличие вредоносного кода
7. engine/modules/functions.php - наличие вредоносного кода
Расшифровав этот код, можно увидеть следующее:
Из данного кода видно, что он срабатывает только на мобильных устройствах и только один раз, далее записывается в куки для пользователя и повторно не отображается. Тем самым многие могут думать что это был глюк. Ну и сам скрипт перенаправляет пользователей мобильных устройств на сайт w3-org.cc. Который в свою очередь используется злоумышленниками как сайт-прокладка и редиректит пользователя на любой другой конечный адрес.
4. index.php, engine/modules/config.php, engine/modules/dbconfig.php
6. .htaccess в корневой директории
Для проверки удаления вируса изо всех файлов системы, надо зайти с мобильного устройства с любой ОС (ios, android и тп) на свой сайт, если редиректа на сторонний ресурс злоумышленника нету, то все отлично.
Подытожим.
Всегда используйте лицензионные копии движка и следите за сайтом.
Биоробот на 146%
- Из всегда здесь был
, спасибо за совет. Заплатки ставили. Единственный момент - некоторые на версию 9.3 не подходят ((
Страх — это путь на темную сторону.
Garry (02 Февраль 2013 - 18:23) писал:
Как я понял безопасность на DLE очень шаткое понятие, так как существует много сообществ, форумов где постоянно находят всё новые и новые уязвимости (ну испытывают к этой CMS пламенные чувства разные школьники). Если у вас стоит Null то ищите шеллы, они 100% присутствуют. И купите вы лицензию она помоему 70$ стоит всего, зато сможете общаться с разработчиками, хотя толку от общения с ними
В вашем случае посмотрите внимательно в файле dle_js.js он находится в /engine/classes/js/
А ещё посмотрите отдаёт ли движок ошибку безопасности сервера, что-то типо того: Внимание ошибка безопасности:
Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру.
Ах да чуть не забыл спрячьте админку, в большинстве случаях через неё и ломают.
Программирование. Продвижение SEO. Работа с CMS. 1С Предприятие.
Как закрыть индексацию ссылок в Data Life Engine (DLE)
Ни каких хаков и модов не надо, достаточно изменить всего две строки в файле parse.class.php который лежит в папке \www\engine\classes
И после этого ссылки добавляемые через BBcode в DLE, будут не видны для поисковиков. Данный метод очень прост в реализации.
Напомню для того чтобы запретить поисковикам индексировать ссылки надо сделать следующее:
1. Открываем файл parse.class.php
Ищем следующуй текст (строка 660)
Строка 810 для версии 9.7.
Строка 808 для версии 9.8.
Затем чуть ниже (строка 673)
Ищем строку
Теперь при добавлении ссылок в новостях они будут закрыты для поисковых систем.
2. Изменение уже сохраненных ссылок в новостях..
Данный пункт можете делать по желанию. Я лишь поделюсь своим способом.
Для этого я просто делаю дамп в админке сайта. Выгружаю его по FTP к себе на локальный компьютер.
И с помощью программы Notepad++ в дампе базы данных меняю:
——————————-
Также есть более простой вариант:
Закрыть в шаблоне fullstory.tpl вывод полной новости
Минус этого способа в том, что ссылки все равно будут индексироваться, но в выдаче поисковой системы их не будет.
Если есть предложения я обязательно выслушаю.
Спасибо за внимание. Acid.
У меня 660 строка такая
Строка 810 для версии 9.7.
Строка 808 для версии 9.8.
Возможно, спасибо за совет.
Спасибо за инфу, мне надо счетчики сделать не индексируемыми. для этого достаточно скрипт счетчика внести в тег noindex.
Да. Этого достаточно.
тег
(В настоящее время тег
Вопросы:
Подскажите пути решения проблемы.
Как найти эти исходящие ссылки?
Где их искать?
Как их удалить, или закрыть от индексации?
Почему тег
Речь идет о сайте youkino.ru
Программа работает очень быстро.
Обычно перед использованием шаблонов для DLE я ищу в них .RU .COM .ORG display:none
Спасибо. Программа нашла нное колличество файлов в которых присутствует display:none. Как из них выбрать ненужную ссылку?
Только вручную. Просматривайте файлы TPL редактором notepad++. И удаляйте.
Здравствуйте. Спасибо, понравилась статья.
Через админку кидая ссылку она становится noindex, кидая через комментарии, ситуация иная..
Есть ли способ и там поправить?
За ранее благодарен.
В админке запретите индексацию ссылок в комментах.
Уважаемый admin после изменения файла parse.class.php при добавлении ссылок они выглядят так
Правильно ли у меня получилось?
ДА. Такая ссылка не попадет в выдачу поисковой системы.
И где находиться база новостей в DLE?
В базе данных таблица POST.
А адрес форума дай.
Acid, помоги с сайтом моим пожалуйста. стукни в асю три45621674
проблема простая, не могу разобраться :neutral:
Ок вечером постучу. Лучше по таким вопросам писать на моем форуме. С полным описанием проблемы.
И что нужно сделать.
Димон и админ, спасибо вам большое за вашу дискуссию! ) Позор мне, я сам не догадался использовать тег [leech] вместо [url]. В принципе это даже лучше чем nofollow, мне кажется. Поисковик думает что ссылки внутренние, не уходит по ним и вес никуда не утекает. Поправьте, если я ошибаюсь в чем то.
Все верно. Вес не утекает.
Я тоже стал использовать данные настройки после дискуссии с ДИМОНОМ :grin:
В споре рождается истина :) А у меня теперь дилема: около сотни статей со ссылками закрыты nofollow и я теперь думаю, оставить все так или переделать их в leech, а если переделывать, это же сколько времени понадобится…
Удачи Андрюха ПРОГРАММЕР мой тебе совет ,научись слушать людей а не дерзить, вдруг что нужное рассказывают а то так все и пропустишь Все пока,я ушел скучно будет пиши на почту. :mrgreen: :mrgreen: :mrgreen:
И тебе удачи. Забегай.
1.Включить автоматическую конвертацию ссылок
2.Включить автоматическая замена ссылок [url] в тег [leech]
При включении данной опции: все ссылки, которые пользователь публикует в теге [url], будут автоматически заменены на защищенные ссылки тега [leech]
и будут отдавать редирект на главную,и считаться внутренними ну а пользователь будет свободно по ней переходить :mrgreen: :mrgreen: :mrgreen:
учись программер
P.S все также без обид ПРОГРАММЕР :mrgreen:
Да, я читал, теперь скажи ты сам то читал? Еще раз уточню для тебя очень одаренного программера, статья про то как запретить индексировать ссылки, а не про то как их спрятать от поисковой системы или закодировать.
Теперь смотри внимательнее в текст ссылок там везде есть тег nofollow для НЕиндексации ссылок. Тебе же яндекс четко написал : Атрибут работает аналогично мета-тегу со значением nofollow, но распространяется только на ссылку, для которой указан. А как сам тег(атирибут) работает? Правильно. Он не переходит по ссылкам на странице и не индексирует их.
Зачем ты мне написал про конвертацию ссылок? Это ни как не относится к запрету их индексирования.
Про тег Leech я в курсе, внутренние ссылки мне не нужны, они же индексируются все равно, а мне надо было запретить индексацию ссылок.
Ты пишешь:
да и вообще зачем эти танцы с бубном если все можно решить с помощью настроек самой DLE
Да ты прав, в DLE есть механизм который закрывает текст ссылок для поисковиков, но это работает только для комментариев.
С каждым комментарием я учусь. Обижаться на тебя это просто глупо. Жду новых комментариев от тебя о великий гуру программист ДИМОН.
Ошибаешься работает и на контенте тоже
вот тебе пример cgfilm.net/films/50008-napadenie-shturm-the-assault-lassaut-2010hdrip.html ссылки на файлообменники
Ну вот опять ты умничаешь. Зачем? Все прекрасно знают сервис mailforspam.com.
Ответ тебе на почту? Не смеши меня =)
Пойми, что оставляя комментарий в котором указан почтовый ящик для спама,ты заведомо говоришь о том, что не хочешь продолжать общение по данной статье. Лишь только нагадить и пойти мимо.
Ps.жду ответа, читаю и больше здесь не появляюсь :mrgreen: :mrgreen:
:mrgreen: :mrgreen: :mrgreen: зачем ты их тогда на модерацию их ставишь если ты им всем рад :mrgreen: :mrgreen: :mrgreen:
В админке проще отвечать на них.
Спасибо за статью. Но есть вопрос: если я проделаю все вышеуказанные действия, то все ссылки, которые будут создаваться в BBCode для новостей, будут закрыты для индексации. И внутренние тоже?
Да все ссылки которые сделаны с помощью BBCode, не имеет значение куда она ведет.
А можно сделать так, чтобы был запрещен индекс только внешних ссылок, а внутренние при этом были разрешены для индексации?
Если ссылки будут опубликованы без использования BBCode, то они будут нормально индексироваться.
А можно поподробнее про то как дамп делать и закачивать обратно,я скачал на компьютер через phpMyAdmin файл,закрыл ссылки в noindex и т.д теперь не получается импортировать файл обратно
Импортируй с помощью Sypex Dumper
С ним проще на много.
Про буквы я так и не понял, что вы имели ввиду =)
Главное не переборщить с оптимизацией.
Всего два правила
1. Публикуй уникальный контент.
2. Если контент не уникальный, ставь ссылку на источник и будет все в порядке.
Но я понял это тогда, когда фильтры яндекса уже были наложены.
Нет именно для яндекса noindex, а для гугла nofollow.
Прошло 5 пять месяцев с опубликования статьи, признаю, есть некоторые неточности.
Либо добавляем данную директиву в ссылку, гугл ее увидит, но вес(PageRank)по ней передаваться не будет.
ПрОгРаМмИсТ ты пишишь полное говно. Все что ты описал подробно написано в хелпе yandex и google, зачем повторятся, дай нормальные ссылки. Да нет ты хочешь показать что ТТТЫ умный. Если так, то че молчишь что роботы переходят даже по закрытым ссылкам, конечно без веса, но они уходят с сайта, а это недопустимо. Для этого исходящие, правильные веб мастера, закрывают в java скрипт. Но я догадываюсь что тебе ПрОгРаМмИсТ до этого как до Пекина задом. Так как твой сайт полная задрота.
Ну молчу потому, что только сейчас зашел чтобы одобрить твой коммент. Я ни разу не сказал, что я умный или уникум. Я обычный программер. Да страница с моими работами закрыта от индексации. Не понимаю зачем их открывать. Это же для потенциальных клиентов, а не для поисковиков.
Я искал решение, как закрыть ссылки, на других сайтах, но другие варианты меня не устраивали, мне надо было под 9.2.
Я решил проблему сам, изменив исходный код DLE, и описал все тут.
Жду новых комментариев Яша. =) Кстати что-то ты свой сайт не указал в комментариях, он у тебя есть ?
Как ты себя называешь програММером если ты не знаешь такой элементарности
читай ДРУГ тут все написано только без обид не преследовал цели тебя оскорбить удачи
Димон — друг мы читаем, читаем.
Я себя называл и буду называть программистом. Я нашел те участки кода которые отвечают за вывод ссылок с помощью ББ кодов. И закрыл их от индексации.
Димон — как правило на тролей которые умничают не обижаются. Таких либо самих ткнули носом в решение данной проблемы либо ты понахватал верхушек и решил поумничать.
Грубо но правильно ЯША и еще поправка тег только для яндекса и только закрытия части текста от индиксации а не ссылки а тег nofollow и есть для закрытия ссылок его и яндекс с недавних пор понимает ,но как сказал ЯША роботы переходят по таким ссылкам но не используют их в выдаче,и по ним не передается ссылочный вес
Читайте друзья хоть иногда.
ТУТ все есть :shock:
Димон — я вижу у тебя проблемы с изложением своих мыслей. Ты написал что-то не внятное и сумбурное. Да еще и почту завел на таком домене (mailforspam), очень надеюсь, что ты вернешься и прочитаешь данный ответ.
Статья была написана правильно. Только в одном случаи не был прописан тег nofollow. Так, что индексация ссылок была закрыта, не на все 100%, но все же.
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Требуется специалист для следующих задач:
1. Поиск и устранение причин медленной загрузки админ панели, устранение проблемы.
Необходимо пофиксить дыры, чтобы в дальнейшем не возвращаться к данной проблеме.
- Работа через TeamViewer -
- Возможность созвониться через Skype -
2623 проверен 264 6
сделаю без проблем. при предоставлении доступов по фтп или бекапа сайта
312
1221 проверен 61 1
9312 343 4 7
Готов взяться за работу, пишите, сделаю все качественно!
Бэкап можете сбросить?
нет, работу через tv
Надеюсь на отклик адекватного и заинтересованного исполнителя.
Что касается вашего сарказма, зря вы так. Я не первый день на этом сервисе.
Чтобы гарантировано найти вирусы нужно обойти все файлы. Если у вас Linux на компьюетере то можно сделать. Хотя это может быть всего пару JS вставок в коде. Именно их Яндекс всегда и видит. Такое часто попадается. Но гарантии что больше нет ничего никакой.
Сергей, если я уже работал с человеком и знаю его возможности, то мне не составит труда скинуть ему бэкап, в противном случае для меня это риск, а мне лучше перестраховаться.
По удобству вы правы, Linux у меня нету, но рабочая область настроена. (filezilla, notepadd++, браузеры с расширениями, возможность подключится к ssh, подготовленный бэкап)
Иногда сомнения опадают во время разговора голосом (по skype например) или при виде первых шагов исполнителя.
сомнения в чем? все тут сидят с желанием сломать ваш сайт?
Продумайте условия и действия. ваш проект будет постоянно банится из за условия работы по тайвиверу
Тип проверки: полная (antivirus-alarm + мировые антивирусные базы)
Список проверяемых файлов:
1. dle-news.ru, тип файла: html
Антивирусная база | Версия базыРезультаты |
Bkav | вирусов нет |
MicroWorld-eScan | вирусов нет |
nProtect | вирусов нет |
CMC | вирусов нет |
CAT-QuickHeal | вирусов нет |
McAfee | вирусов нет |
Malwarebytes | вирусов нет |
VIPRE | вирусов нет |
SUPERAntiSpyware | вирусов нет |
TheHacker | вирусов нет |
Alibaba | вирусов нет |
K7GW | вирусов нет |
K7AntiVirus | вирусов нет |
Baidu | вирусов нет |
F-Prot | вирусов нет |
Symantec | вирусов нет |
ESET-NOD32 | вирусов нет |
TrendMicro-HouseCall | вирусов нет |
Avast | HTML:Script-inf |
ClamAV | вирусов нет |
Kaspersky | вирусов нет |
BitDefender | вирусов нет |
NANO-Antivirus | Trojan.Script.Autoit.drljqo |
AegisLab | вирусов нет |
Rising | вирусов нет |
Ad-Aware | вирусов нет |
Emsisoft | вирусов нет |
Comodo | вирусов нет |
F-Secure | вирусов нет |
DrWeb | Trojan.KillFiles.61943 |
Zillya | вирусов нет |
TrendMicro | вирусов нет |
McAfee-GW-Edition | вирусов нет |
Sophos | вирусов нет |
Cyren | вирусов нет |
Jiangmin | TrojanDownloader.JS.avax |
Webroot | вирусов нет |
Avira | вирусов нет |
Fortinet | вирусов нет |
Antiy-AVL | вирусов нет |
Kingsoft | вирусов нет |
Arcabit | вирусов нет |
ViRobot | вирусов нет |
AhnLab-V3 | вирусов нет |
ZoneAlarm | вирусов нет |
Avast-Mobile | вирусов нет |
Microsoft | вирусов нет |
TotalDefense | вирусов нет |
ALYac | вирусов нет |
AVware | вирусов нет |
MAX | вирусов нет |
VBA32 | вирусов нет |
Zoner | вирусов нет |
Tencent | вирусов нет |
Yandex | вирусов нет |
Ikarus | вирусов нет |
GData | вирусов нет |
AVG | HTML:Script-inf |
Panda | вирусов нет |
Qihoo-360 | вирусов нет |
С виду всё в порядке!
Правда, вирус может прятаться хитрее - показываться только пользователям с Windows XP или ещё как-то неожиданно. Да ну, чёрт с ним!
счастья, много и для всех
Если по данным проверки один из алгоритмов обнаруживает вирус, это не всегда однозначно свидетельствует о зараженности сайта. Иногда шифрованный код рекламных блоков и другие подобные элементы сайта подпадают под определения тех или иных антивирусных баз - это НЕ вирусы.
Внимание! Данная бесплатная услуга предоставляется по принципу "как есть". Администрация Antivirus-Alarm не несет ответственности за точность обнаружения или не обнаружения подозрительного кода на Вашем сайте в рамках бесплатной проверки. Если Вы хотите 100% точности, Вам следует действовать по инструкции по обнаружению и удалению вирусов.
Читайте также: