Ответить
Если редирект в шаблоне, скачайте файлы шаблона (регистрации и пр) и просмотреть их вручную - либо поиском по соответствующем функциям.
Яндекс обнаружил вредоносный код на форуме
Цитировать
#107
classicaudio ответил: 
- Newbie
-
- Группа: Пользователи
- Сообщений: 8
- Регистрация: 17-Ноябрь 13
- Репутация: 0
- IPB version:I have no IPB
Отправлено 29 Сентябрь 2015 - 21:48
К сожалению, я на Вы с IPB, а глобального поиска по шаблонам в админке нет, какие именно файлы (таблицы) за это могут отвечать?
#108
siv1987 ответил:
- Advanced
-
- Группа: IPB Skins Team
- Сообщений: 9 048
- Регистрация: 20-Март 09
- Репутация: 2 414
- IPB version:3.1.x
Отправлено 29 Сентябрь 2015 - 21:53
Кеш шаблона находится на диске - /cache/skin_cache/cacheid_%id/, т.е. php код который отрабатывает.
Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.
В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.
Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.
В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.
#109
classicaudio ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 8
- Регистрация: 17-Ноябрь 13
- Репутация: 0
- IPB version:I have no IPB
Отправлено 29 Сентябрь 2015 - 22:23
siv1987 29 Сентябрь 2015 - 21:53 сказал(а):
В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.
Правильно ли я понимаю, что нужно исать либо прямой код переадресации <script src, либо base64_decode или preg_replace?
#110
siv1987 ответил:
- Advanced
-
- Группа: IPB Skins Team
- Сообщений: 9 048
- Регистрация: 20-Март 09
- Репутация: 2 414
- IPB version:3.1.x
Отправлено 30 Сентябрь 2015 - 16:12
Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.
#111
classicaudio ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 8
- Регистрация: 17-Ноябрь 13
- Репутация: 0
- IPB version:I have no IPB
Отправлено 30 Сентябрь 2015 - 17:15
siv1987 30 Сентябрь 2015 - 16:12 сказал(а):
Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.
Уже понял, что приходится двигаться дальше, т.к. поиском по админке вообще очень мало упоминаний всех трёх функций и с виду все безобидные. Бэйсдекод вообще только однажды был и там была ссылка на сайт автора хука. Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
#112
newbie ответил:
- Advanced
-
- Группа: IPB Skins.ru Team
- Сообщений: 2 386
- Регистрация: 26-Октябрь 11
- Репутация: 954
- IPB version:I have no IPB
Отправлено 01 Октябрь 2015 - 10:27
classicaudio сказал(а):
Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
classicaudio сказал(а):
но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код.
Я посмотрел код каптчи у Вас на форуме и нашел упоминание о
clktag.com
Далее вбиваем в поисковик и видим
sweet.png (40,49К)
Количество загрузок: 10
#113
classicaudio ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 8
- Регистрация: 17-Ноябрь 13
- Репутация: 0
- IPB version:I have no IPB
Отправлено 14 Октябрь 2015 - 10:34
newbie 01 Октябрь 2015 - 10:27 сказал(а):
Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над
Я посмотрел код каптчи у Вас на форуме и нашел упоминание о
Далее вбиваем в поисковик и видим
sweet.png
Я посмотрел код каптчи у Вас на форуме и нашел упоминание о
clktag.com
Далее вбиваем в поисковик и видим
sweet.pngСпасибо, значит это свиткапча взломана
. Очень жаль. Надо задуматься о смене капчи. Но от взломщика я так и не избавился. 4 октября кто-то попытался войти в АЦ под моим именем - не удалось, но он тут же вошёл под другим именем, которое (теперь он неактивированный пользователь) и внес изменения в пару стилей, в таблицу includeJS и еще одну, внеся скрипт. Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?
#114
siv1987 ответил:
- Advanced
-
- Группа: IPB Skins Team
- Сообщений: 9 048
- Регистрация: 20-Март 09
- Репутация: 2 414
- IPB version:3.1.x
Отправлено 14 Октябрь 2015 - 15:51
classicaudio сказал(а):
Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?
Прочитайте тему целиком. Как правильно лечится от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.
#115
classicaudio ответил:
- Newbie
-
- Группа: Пользователи
- Сообщений: 8
- Регистрация: 17-Ноябрь 13
- Репутация: 0
- IPB version:I have no IPB
Отправлено 15 Октябрь 2015 - 17:30
siv1987 14 Октябрь 2015 - 15:51 сказал(а):
Прочитайте тему целиком. Как правильно лечить от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.
Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite. Сейчас сменил директорию админки, поставил еще пароль на директорию. Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно, тогда придется тратить деньги. Я просто безработный на данный момент и даже лишняя $20 теперь совсем не лишняя.
#116
siv1987 ответил:
- Advanced
-
- Группа: IPB Skins Team
- Сообщений: 9 048
- Регистрация: 20-Март 09
- Репутация: 2 414
- IPB version:3.1.x
Отправлено 15 Октябрь 2015 - 19:02
classicaudio сказал(а):
Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite.
ISP это всего лишь панель управления. Поменять пароли на сервере с успехом можно и без нее.
classicaudio сказал(а):
Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно
Возможно, и даже проще чем кажется. Без шелла не сервере (с наличием шелла вы хоть весь форум можете переименовать) и доступом в АЦ это сложнее будет сделать, но просто никто не станет заморачиватся.
#117
arthur1 ответил:
- Member
-
- Группа: Пользователи
- Сообщений: 17
- Регистрация: 09-Декабрь 15
- Репутация: 0
- IPB version:3.4.x
Отправлено 23 Декабрь 2015 - 14:23
Итак, я решил проверить свой форум на вирусы.
Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.
Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.
Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл )
Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.
Странно, Яндекс.Вебмастер об угрозах молчит На всякий случай, покажу еще sql_latest_error.cgi
Спасибо
Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.
Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.
Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл
)Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.
Странно, Яндекс.Вебмастер об угрозах молчит
На всякий случай, покажу еще sql_latest_error.cgi Спасибо
#118
newbie ответил:
- Advanced
-
- Группа: IPB Skins.ru Team
- Сообщений: 2 386
- Регистрация: 26-Октябрь 11
- Репутация: 954
- IPB version:I have no IPB
Отправлено 23 Декабрь 2015 - 14:57
arthur1 сказал(а):
Странно, Яндекс.Вебмастер об угрозах молчит
arthur1 сказал(а):
На всякий случай, покажу еще sql_latest_error.cgi
arthur1, Вам дали 2 ссылки на темы, в одной из которых выложены патчи.
