Яндекс обнаружил вредоносный код на форуме - Страница 2 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • 1
  • 2
  • 3
  • 4
  • Последняя »

Яндекс обнаружил вредоносный код на форуме

#16 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 03 Февраль 2015 - 16:24

Наконец-то отработал айболит.
Пришлось запускать на локалке.
Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...
Как разбираться-то с этим всем?
0

#17 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 03 Февраль 2015 - 16:35

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?
У меня там внутри оказалась pdf книга
0

#18 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 03 Февраль 2015 - 16:44

Вобщем айболит нашел что-то типа шелл-скрипта, но это было в файлах /admin/setup/sources/base/setup.php и /admin/sources/base/ipsRegistry.php - вроде они совпадают с дистрибутивными, но перезалил на всякий случай.
0

#19 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 762
  • Регистрация: 20-Март 09
  • Репутация: 2 286
  • IPB version:3.1.x
 

Отправлено 03 Февраль 2015 - 17:42

 Karagor сказал(а):

Как разбираться-то с этим всем?

Анализировать каждое уведомление и, если код вызывает подозрение, анализировать код в файле на вредоносность. Многие уведомления через какое-то время отсекаются "битым глазом" на автомате, но естественно нужно знать php и разбираться немного в вопросе безопасности выполняемого кода.

 Karagor сказал(а):

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

Это аттачи.

 Karagor сказал(а):

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Да, айболит ругается на все подряд. Конкретно он может сказать только если будут совпадения по сигнатурам вирусов, а потенциально опасные функции которые используются для шеллов нужно изучать вручную. Половина вообще может быть мусор типа error_reporting и прочее.
0

#20 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 10:16

Яндекс при загрузке форума стал показывать новую картинку и ругается конкретно на этот фрагмент

<link rel="stylesheet" type="text/css" media='screen,print' href="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&amp;f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css" />

0

#21 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 04 Февраль 2015 - 10:26

http://sport-horse.p...SOS_BBCodes.css

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.
0

#22 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 13:14

Да, какая-то странная ссылка -
http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

Тупо поменять с дропбокса на локальную?
0

#23 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 04 Февраль 2015 - 13:21

 Karagor 04 Февраль 2015 - 13:14 сказал(а):

Да, какая-то странная ссылка -
http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

Тупо поменять с дропбокса на локальную?


Попробуйте.
0

#24 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 13:34

После замены файла на исправленный при просмотре кода стоит исправленная ссылка.
Если обновить кеш скина, то заново появляется ссылка на дропбокс.

Забавно кстати то, что эта самая картинка не открывается с дропбокса вот с таким сообщением:

Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!

0

#25 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 04 Февраль 2015 - 14:14

Не сам файл правьте, а в самом шаблоне в АЦ. И перерасчет кэша шаблонов обязательно.
0

#26 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 14:28

Понял...

Он кстати в АЦ помечен как добавленный шаблон - желтой точкой.
И при нем стоит значок типа знака "кирпич"

"Перерасчет кеша шаблонов" - это я не понял.
Перестроил кеш шаблонов всех на всякий случай и выполнил пункт "обновить данные базового скина".

Все, похоже теперь исчезла ссылка из кода.
0

#27 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 04 Февраль 2015 - 14:40

Ну значит тот css был добавлен руками - просто стороннее дополнение, с ручными правками. Его лучше не удалять, а просто сделать правки.
0

#28 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 762
  • Регистрация: 20-Март 09
  • Репутация: 2 286
  • IPB version:3.1.x
 

Отправлено 04 Февраль 2015 - 15:45

 Karagor сказал(а):

src="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&amp;f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css"

Точно на этот? Вы не перепутали с этим /index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&g=js? По вашей ссылке только стили подгружаются, а вот во втором варианте как раз грузиться вирус. Смотрите внимательно, эти ссылки легко перепутать - разница в том что стили и скрипты грузятся из папки /public/min/index.php.

 Атаман сказал(а):

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.

Да причем здесь ссылки в стилях, это уже параноя. Насколько я знаю через css еще ни один сайт не взламывали.
0

#29 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 762
  • Регистрация: 20-Март 09
  • Репутация: 2 286
  • IPB version:3.1.x
 

Отправлено 04 Февраль 2015 - 16:07

Сейчас у вас все чисто, редиректов и вредоносных js скриптов нету. Дайте на перепроверку в яндекс вебмастере и ждите результата.
0

#30 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 16:16

офтопик: О! 6000 постов! ))) Круто!!!

Точно не перепутал - всмысле это мне написал яндекс- я же копировал прямо с экрана с красной табличкой.
0

Сообщить об этой теме:


  • 9 Страниц +
  • 1
  • 2
  • 3
  • 4
  • Последняя »


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна