Всем привет! Очень нужна ваща помощь
имеется сайт на datalife engine! вчера произошло что-то непонятное  
в загаловках всех новостей добавленных через движок появились вот такие javascrtiptы, какая то магия  

и везде одно и тоже
увидеть можно это здесь и здесь и так далее во всех разделах

я понятия не имею почему так произошло, из-за чего это могло случиться??

вчера я долго исправлял все статьи и все вернулось на свои места, но сейчас эти скрипты снова появились! помогите пожалуйста и извините если не в той теме написал!

Добавлено через 4 минуты и 15 секунд
вбил в гугле и получил еще несколько сайтов с такой же проблеммой

  


Это сообщение отредактировал(а) olegarh - 10.12.2011, 19:50

Не могу сказать точно, но очень похоже на вирус, который не так давно поразил Joomla и некоторые другие CMS. У Вас есть на компьютере сохраннённые пароли для FTP на котором лежит сайт?

P.S. Обычно, пароли могут быть сохранены в программах: FileZilla, Total commander и некоторых других.

да в filezilla сохранял((
 
спасибо за ответ
и как вообще с ним бороться?

Ээммм... Надо подумать. Вообще, не плохо бы скачать, я думаю, исходник сайта для начала и сделать поиск соответствующего текста в исходных файлах. Затем, удалить его оттуда и закачать всё обратно.

Перед этим, разумеется, лучше всего сделать бэкап сайта, полный.

Но, прежде всего, я думаю, стоит сделать вот что:
1. Изменить пароль к FTP
2. Не сохранять его больше в FileZilla

и/или... позаботиться о безопасности своей ОС на более высоком уровне.

P.S. Если у Вас затруднения с поиском по исходникам - можете кинуть код мне, я поищу/вырежу...

а что именно надо искать? 
просто сам код который в топике он находится в заголовках новостей
а сам вирус?

"вирус" этот (если это он) - лезет в исходный код и меняет его. По идее, он должен это делать не заметно... Но, он почему-то промахнулся, на этот раз.

Я думаю, стоит поискать что-то типа вот этого:

спасибо))
буду пробовать  

Потом расскажите о результатах, может ещё кому пригодится...

да! обязательно)

Также попробуйте использовать функцию "Антивирус" в самом движке, возможно найдутся лишние файлы с вирусом.

Suvoroff, никогда бы не подумал, что в движке может быть встроен "Антивирус"!

Если он работает по принципу "лишние файл", то, вряд ли там что-то найдётся. Этот "вирус" обычно ничего не добавляет, он лишь модифицирует имеющиеся файлы. При этом, происходит это примерно так:

1. Троян ворует сохраннённые от ФТП пароли
2. Специальная программа-робот (что-то типа "паук"а) поочерёдно подключается к ФТП и тащит оттуда файлы сайта.
3. После чего, пытается определить, какой движок используется на сайте
4. Если движок определён, в некоторые файлы, в автоматическом режиме внедряется посторонний код
5. "Зараженные" файлы закачиваются обратно на сервер

Могу сказать "наверняка", как должен был сработать код приведённый выше (автором темы):
1. Функция "CHAR" декодирует номера (коды) символов в буквы, получается URL
2. По получившемуся URL загружается некий JS-код, который что-то делает. Например, пытается своровать "куку"
3. Ну и т.д.

В общем, по какой-то причине произошёл сбой, благодаря которому, автор темы увидел этот "глюк" и поднял тревогу. Если бы всё сработало как надо, думаю, владелец сайта не скоро бы заметил "подмену"... А проблем такие скрипты могут принести много.

P.S. Не сохраняйте пароли к ФТП!!!

В общем проблему решил радикально   
давно хотел сменить хостинг и сейчас самый подходящий момент был
на новый хостинг поставил последний dle
Залил туда базу данных со старого хостинга
Вот)))

но появился ряд проблем:
1. bbcode [thumb=left|текст для alt] - картинке правильно присваивается alt  но справа появляется тот же самый "текст для alt"? посмотреть можно здесь 
2. здесь появились 

и картинки стали открываться по ссылке т.е если нажать не работает загрузка картинки и увеличение как это делается обычно а именно переход по ссылке картинки

помогите пожалуйста)

WolfAlone, вопрос немного не по теме - а где ты хранишь все пароли? Вот у меня есть доступ где-то к 10 сайтам, пароли в файлзилле. Да это не хорошо, но не на бумаге же все хранить и каждый раз вбивать?) Да даже из нотепада копировать надоест, хотя и там и вообще в любом месте на компе хранить не хорошо. Но только я не пойму как люди справляются с большим кол-вом паролей в разные панели, хостинги итп. Посоветуешь что-нибудь?

Ripper, надо обмозговать немного этот вопрос, так вот с ходу ничего умного не посоветую, ну разве что использовать FireWall толковый (это если Windows) и внимательно смотреть "кто" (какая программа) и куда пытается подключиться и/или что-то слить... Для *nix, я думаю этот вопрос можно решить на уровне прав доступа (хотя, возможно для Windows тоже можно с правами попробовать "поиграться", я честно говоря по винде не специалист, по этому тут сказать не могу).


Пароли от ФТП я честно говоря не храню вообще нигде. Я подключаюсь к серверу по ключу (без пароля). А пароль для ключа (ключей), в случае надобности - храню в голове. Если говорить совсем точно, то я вообще редко пользуюсь FTP, в основном я пользуюсь SFTP. Для этих целей есть не менее замечательная чем FileZilla программа и называется она WinSCP. Умеет авторизоваться по ключу.

Касательно большого количества панелей и пр. ... Если честно, затрудняюсь сказать, как люди справляются. Видимо, справляются не все. Пример тому мы уже видели. Конкретно в моём случае, такая проблема возникает редко, так как моя основная панель управления для всех серверов это либо "Терминал Gnome" либо "Putty", который опять таки, поддерживает ключи (при необходимости).

Для хранения паролей от сайтов, есть специальные программы, которые автоматически заполняют формы (в т.ч. и формы с паролями) на сайтах, а сами пароли хранят в зашифрованном виде, в каком-то своём безопасном хранилище. Что-то конкретно тут посоветовать не могу, т.к. если честно не пользуюсь ничем подобным.

Сказать по правде, для меня уже много лет остаётся загадкой, как вообще люди хватают всякие вирусы, теряют пароли от соц. сетей, эл. почты, платёжных систем и так далее.  Лет где-то так 15 за компьютером работаю, и вот ни разу не хватал ни порно-баннеры, ни ещё дрянь какую. Ключи не терял, страницу в соц. сетях мою не взламывали, электронную почту тоже... (тьфу-тьфу-тьфу   )

При этом, ни разу не видел, что бы сохраненные например в FireFox пароли стали достоянием какого-нибудь "злостного хакера". Может быть, FireFox тоже их шифрует?

olegarh, касательно:

Я если честно DLE в глаза видел всего несколько раз (не понравился он мне), но, подозреваю, что это какой-то мета-тег в виде комментария для самой DLE. Происходит так, я думаю по тому, что эти самые теги где-то указанны, и при этом какой-то фильтр DLE делает из "<" и ">" соответствующие HTML-символы (проще говоря, фильтрует HTML). Предполагаю, что избавиться от этого можно путём поиска соответствующего кода в исходниках (скорее всего, где-то в шаблоне) и удалением "этого" оттуда.

На счёт "alt справа" сказать ничего к сожалению не могу. Хотя, подозреваю, что стоило перенести не просто старую базу на новый код, а провести некую процедуру "Импорт/Экспорт", тогда бы, я думаю, таких проблем не возникло.

Да dle тоже мне ужасно не нравится, но мне отстается только подстраиваться потому что переносить на другой движок еще большая морока!

насчет переноса все получилось грамотно! Оказывается этот баг был еще до переноса и появился вместе с вирусом! Видимо он там что то напортачил!
Просто знать бы какие файлы за это отвечают)) и где подправить

olegarh, обычно я борюсь с эти так:

1. NetBeans 7.x
2. Создать проект с существующим исходным кодом
3. Правой кнопкой на корневой директории с проектом (в NetBeans)
4. Пункт меню "Поиск..."
5. Вводим текст, который хотим найти
6. Смотрим список файлов, с найденным текстом
7. Открываем файлы и вносим соответствующие корректировки.

Если после переноса базы (учитывая то, что исходный код DLE "чист"), появилась такая ерунда - видимо, этот "вирус" ещё и в базе нагадил. В этом случае, следует сделать поиск подобного текста по БД.