Яндекс обнаружил вредоносный код на форуме - Страница 8 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • « Первая
  • 6
  • 7
  • 8
  • 9

Яндекс обнаружил вредоносный код на форуме

#106 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 723
  • Регистрация: 20-Март 09
  • Репутация: 2 270
  • IPB version:3.1.x
 

Отправлено 29 Сентябрь 2015 - 21:35

Если редирект в шаблоне, скачайте файлы шаблона (регистрации и пр) и просмотреть их вручную - либо поиском по соответствующем функциям.
0

#107 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 29 Сентябрь 2015 - 21:48

К сожалению, я на Вы с IPB, а глобального поиска по шаблонам в админке нет, какие именно файлы (таблицы) за это могут отвечать?
0

#108 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 723
  • Регистрация: 20-Март 09
  • Репутация: 2 270
  • IPB version:3.1.x
 

Отправлено 29 Сентябрь 2015 - 21:53

Кеш шаблона находится на диске - /cache/skin_cache/cacheid_%id/, т.е. php код который отрабатывает.
Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.
В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.
1

#109 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 29 Сентябрь 2015 - 22:23

Просмотреть сообщениеsiv1987 29 Сентябрь 2015 - 21:53 сказал(а):

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.


Правильно ли я понимаю, что нужно исать либо прямой код переадресации <script src, либо base64_decode или preg_replace?
0

#110 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 723
  • Регистрация: 20-Март 09
  • Репутация: 2 270
  • IPB version:3.1.x
 

Отправлено 30 Сентябрь 2015 - 16:12

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.
0

#111 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 30 Сентябрь 2015 - 17:15

Просмотреть сообщениеsiv1987 30 Сентябрь 2015 - 16:12 сказал(а):

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.


Уже понял, что приходится двигаться дальше, т.к. поиском по админке вообще очень мало упоминаний всех трёх функций и с виду все безобидные. Бэйсдекод вообще только однажды был и там была ссылка на сайт автора хука. Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
0

#112 Пользователь не на сайте   newbie ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 166
  • Регистрация: 26-Октябрь 11
  • Репутация: 814
  • IPB version:I have no IPB
 

Отправлено 01 Октябрь 2015 - 10:27

Просмотреть сообщениеclassicaudio сказал(а):

Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

Просмотреть сообщениеclassicaudio сказал(а):

но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код.

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о
clktag.com

Далее вбиваем в поисковик и видим
Вложение  sweet.png (40,49К)
Количество загрузок: 10
1

#113 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 14 Октябрь 2015 - 10:34

Просмотреть сообщениеnewbie 01 Октябрь 2015 - 10:27 сказал(а):

Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над
Я посмотрел код каптчи у Вас на форуме и нашел упоминание о
clktag.com

Далее вбиваем в поисковик и видим
Вложение sweet.png


Спасибо, значит это свиткапча взломана :(. Очень жаль. Надо задуматься о смене капчи.
Но от взломщика я так и не избавился. 4 октября кто-то попытался войти в АЦ под моим именем - не удалось, но он тут же вошёл под другим именем, которое (теперь он неактивированный пользователь) и внес изменения в пару стилей, в таблицу includeJS и еще одну, внеся скрипт. Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?
0

#114 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 723
  • Регистрация: 20-Март 09
  • Репутация: 2 270
  • IPB version:3.1.x
 

Отправлено 14 Октябрь 2015 - 15:51

Просмотреть сообщениеclassicaudio сказал(а):

Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Прочитайте тему целиком. Как правильно лечится от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.
0

#115 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 15 Октябрь 2015 - 17:30

Просмотреть сообщениеsiv1987 14 Октябрь 2015 - 15:51 сказал(а):

Прочитайте тему целиком. Как правильно лечить от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.


Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite. Сейчас сменил директорию админки, поставил еще пароль на директорию. Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно, тогда придется тратить деньги. Я просто безработный на данный момент и даже лишняя $20 теперь совсем не лишняя.
0

#116 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 723
  • Регистрация: 20-Март 09
  • Репутация: 2 270
  • IPB version:3.1.x
 

Отправлено 15 Октябрь 2015 - 19:02

Просмотреть сообщениеclassicaudio сказал(а):

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite.

ISP это всего лишь панель управления. Поменять пароли на сервере с успехом можно и без нее.

Просмотреть сообщениеclassicaudio сказал(а):

Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно

Возможно, и даже проще чем кажется. Без шелла не сервере (с наличием шелла вы хоть весь форум можете переименовать) и доступом в АЦ это сложнее будет сделать, но просто никто не станет заморачиватся.
0

#117 Пользователь не на сайте   arthur1 ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 17
  • Регистрация: 09-Декабрь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 23 Декабрь 2015 - 14:23

Итак, я решил проверить свой форум на вирусы.

Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.

Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.
Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл :( )

Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.

Странно, Яндекс.Вебмастер об угрозах молчит :( На всякий случай, покажу еще sql_latest_error.cgi

Спасибо
0

#118 Пользователь не на сайте   newbie ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 166
  • Регистрация: 26-Октябрь 11
  • Репутация: 814
  • IPB version:I have no IPB
 

Отправлено 23 Декабрь 2015 - 14:57

Просмотреть сообщениеarthur1 сказал(а):

Странно, Яндекс.Вебмастер об угрозах молчит
Значит это не Ваш случай.

Просмотреть сообщениеarthur1 сказал(а):

На всякий случай, покажу еще sql_latest_error.cgi
Атака идет через /interface/ipsconnect/ipsconnect.php. Уязвимость обнаружена еще в ноябре прошлого года.

arthur1, Вам дали 2 ссылки на темы, в одной из которых выложены патчи.
0

#119 Пользователь не на сайте   arthur1 ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 17
  • Регистрация: 09-Декабрь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 23 Декабрь 2015 - 15:22

@newbie, да, я видел эти патчи, но они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х :(
0

#120 Пользователь на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 151
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 23 Декабрь 2015 - 15:23

Удалить вирус- выполнить sql запрос-збросить кэш - обновить форум на нормальную версию не НУЛЛ 3.4.8
0

Сообщить об этой теме:


  • 9 Страниц +
  • « Первая
  • 6
  • 7
  • 8
  • 9


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна