Помощь Как искать шелл, иврейм, и других паразитов в dle 8.3

[Paffy]

Нашел трояна "Backdoor.PHP.C99Shell.bf" в файле 1256508863_.php.swf . Стал смотреть по файлам скрипта нашел вредоносный код в .htacces

А как это выглядело в htaccess?
У меня такая-же проблема. Не могу найти где сидит...

 

[bobkli]

1. скачиваете с нулледа новый дис.(левые не качайте н*х)
Для просмотра ссылки Войди или Зарегистрируйся
1.1. меняете ФТП пароли раз в 7 дней
1.2. ставите вход в админку по ИП(хотя н@х не нужен)
1.3. меняете название БД и Пасс (мин. 10 син.) раз 30-40 дней
1.4. постоянно смотрите через тотл или файл зиллу(скач. с офф сайта) дату изменения или просмотра файло
инджойн
темплейтс
2. смотрите шаблоны на гадости
3. выгружаете базу проверяете если есть гадости удаляете
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
4. перед установкой хаков и модов смотрите что и как
5. вносите изменения в ст. антивирус при установке хаков и модов(или делаете новый снимок)
6. проверяете новые посты при публикации
и самое главное проверяйте свой комп на вирусы

 

[newpanskibickyy]

А как это выглядело в htaccess?
У меня такая-же проблема. Не могу найти где сидит...

Значит с .htaccess я чуть напутал. Вобщем проблема актуальна.
В исходном коде главной страницы если смотреть через Оперу, есть прописался вот такой скрипт:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

если перейти по ссылке то получаю такую команду:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

В index.php, main.tpl,login.tpl ничего подозрительного не нашел.
На одном форуме нашел похожую проблему как у меня

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

но предложенное там решение мне не помогло...
Кто сталкивался с подобным вирусом, подскажите решение для DLE

 

[grixann]

через что смотреть загруженные файлы ?

 

[newpanskibickyy]

Значит, разобрался я с этим вирусом. Итак кому то может помогу: у меня этот скрипт спрятался в 2-х файлах: config.php и forum_config.php в самом внизу страницы и в право ползунком до "упора" если б не ползунок, так бы я его и искал.

 

[f0rtune]

Ищи через Total commander заходишь на тотал командер и нажимаешь alt+f7 и Ишим include, frame, eval оно находить в каком файле есть этот коды... удобно быстро находит

 

[bobkli]

через что смотреть загруженные файлы ?

через админ панел хостинга, скачиваете все коды в ингоин и смотрите редактером
через файл зиллу можете смотреть посление изменеия файлов если дата отличается от других значит кто то там лазил

 

[prof.seo]

или ставь тотал с оф сайта. но это не выход - в тотале помойму пароли не защищены...

в большенстве троев есть снифер фтп, так что если заразил свой комп, при конекте на сервер твой пассворд будет отправляться злоумышленнику хоть как ты его не защищай. Шифрование паролей, сохраняемых на компе различными программами, возможно и дают мнимое ощущение безопасности, но по факту это не так.

 

[oxxxy]

Ищите изменения в файлах за последние n дней, так как если шелл будет зашифрован, то через поиск вы его не найдете.

 

[qwedc]

Столкнулся с такой же проблемой. Методом тыка и расшифровок нашёл, что сайт хакнули с другого аккаунта на том же сервере, хостинг jino . Саппорт в глухой обороне, хотя раньше всегда быстро отвечали. Всё перечистил, но чего то найти так и не могу, девка с раздвинутыми ногами продолжает вылазить Там ещё в папке с фотками такая хрень лежала: Для просмотра ссылки Войди или Зарегистрируйся
По статистике вижу, что саппорт файл скачал, но ничего так и не ответил