Яндекс обнаружил вредоносный код на форуме - Страница 9 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • « Первая
  • 7
  • 8
  • 9

Яндекс обнаружил вредоносный код на форуме

#121 Пользователь не на сайте   arthur1 ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 17
  • Регистрация: 09-Декабрь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 23 Декабрь 2015 - 15:27

Так а как найти вирус?
0

#122 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 689
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 23 Декабрь 2015 - 18:28

Цитата

они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х

Где вы там уведели прошлогодний патч для 3.1x? Поддержка этой версии закончилась три года назад.
http://ipbskins.ru/f...html#entry89862 (патч от 9 Ноября 2014) и все последующие патчи.

Цитата

Так а как найти вирус?

Какой вирус?
В отчете айболита ничего подозрительного нету.
0

#123 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 689
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 23 Декабрь 2015 - 22:42

Просмотреть сообщениеarthur1 сказал(а):

Странно, Яндекс.Вебмастер об угрозах молчит

Странно было если бы форум был заражен а яндекс молчал. В противном случае скорее всего форум чист. Возможно не успели или не смогли расшифровать хеш пароля, либо при входе в АЦ стоит дополнительная авторизация, а без доступа в админцентр встроить вредоносный код намного сложнее.
0

#124 Пользователь не на сайте   arthur1 ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 17
  • Регистрация: 09-Декабрь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 23 Декабрь 2015 - 23:04

Просмотреть сообщениеsiv1987 сказал(а):

В отчете айболита ничего подозрительного нету.


Так значит беспокоится не о чем. А как же sql_latest_error.cgi? Просто поставить патч и всё?
0

#125 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 689
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 23 Декабрь 2015 - 23:47

Просмотреть сообщениеarthur1 сказал(а):

А как же sql_latest_error.cgi? Просто поставить патч и всё?

Ошибка в sql логе говорит о том, что на форуме проводилась sql инъекция которая позволяет получить произвольный доступ к данным форума, к таким как ключ авторизации, хеш пароля и прочим. Имея эти данные злоумышленник, расшифровав хеш, может авторизоваться на форуме под любой учетной записью имеющей доступ в АЦ. Отсюда надеюсь понятно, что одними патчами уже нельзя обойтись. Следует также сменить все пароли администраторов (с обязательным сбросом ключа авторизации), чьи хеши скомпрометированы и которыми злоумышленник может воспользоваться. Получить конфиденциальные данные это тоже считается взломом, не только дефейс или инфицирование сайта.
1

#126 Пользователь не на сайте   andriks ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1
  • Регистрация: 19-Февраль 16
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 19 Февраль 2016 - 10:45

Здравствуйте! Перечитал всю тему. Просканировал манулом, но вредоносного кода не обнаружил, при этом ТП яндекс прислал письмо
"К сожалению, на Вашем сайте повторно появился указанный ниже вредоносный код:

document.location='http://url4short.info/c64bad21'

при подгрузке следующего url:

autopaty.com.ua/index.php?ipbv=9fea7de314a3082c69f1615e16d6b1c8&g=js

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код."
0

#127 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 689
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 19 Февраль 2016 - 10:57

Не знаю каким образом вы перечитали всю тему, потому что лечение от этого вируса обсуждалось здесь стопиццот раз прямо со второго сообщения. Я не услышал ни одного конкретного пункта который вы должно были проделать, а для эффективного лечения их нужно выполнить все. Попробуйте еще раз перечитать тему, и на этот раз вникать в суть написанного. Не получается - обращайтесь к услугам специалистов, мы всегда будем рады вам помочь.
0

#128 Пользователь не на сайте   RUS_D ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 2
  • Регистрация: 16-Октябрь 13
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 04 Март 2016 - 20:31

Быстро просканировав сайт скриптом от siv1987

Получил такой результат:

От яндекса получил такое письмо:

Цитата

На Вашем сайте периодически появляется указанный ниже вредоносный код: document.location='http://url4short.info/62decc30' при подгрузке следующего url: nlc-zone.ru/forum/public/min/index.php?ipbv=b7af755633926f5a00313de81c8c7342&g=js


1. Кеш стилей и языков обновил
2. пароли сменил
3. отключил сжатие JS / CSS

Окромя того что нашел scan.php нигде ничего нет :(
0

#129 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 689
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 04 Март 2016 - 23:45

Просмотреть сообщениеRUS_D сказал(а):

Быстро просканировав сайт скриптом от siv1987

Этот скрипт не предназначен для поиска вирусов и лишь служит для быстрого поиска некоторых функций используемых в бэкдорах. Для поиска вирусов используйте специализированые скрипты и по.


Просмотреть сообщениеRUS_D сказал(а):

Окромя того что нашел scan.php нигде ничего нет

Если вы проделали все пункты - дайте на перепроверку и ждите результат.
Сжатие css не имеет никакого отношения, не знаю откуда вы это взяли, а вот обновления безопасности ставить нужно, иначе все остальное будет бесполезно.
0

#130 Пользователь не на сайте   RUS_D ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 2
  • Регистрация: 16-Октябрь 13
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 27 Апрель 2016 - 19:22

Все решилось перестроением кешей стилей, сменой паролей и переименовыванием папки admin.
0

Сообщить об этой теме:


  • 9 Страниц +
  • « Первая
  • 7
  • 8
  • 9


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна