Яндекс обнаружил вредоносный код на форуме - Страница 3 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Последняя »

Яндекс обнаружил вредоносный код на форуме

#31 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 04 Февраль 2015 - 16:33

Это после того как сайт был проверен? Какой вердикт?

Цитата

Вредоносный код:
  • обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;
  • содержит exploit (по данным поведенческого анализатора Яндекса);

Вот обращение по адресу который находится в черном списке яндекса может быть проблемой - это встроенные изображения или скрипты с сторонних ресурсов. Но поведенческого анализа я не вижу, возможно это старые данные. Перепроверьте сайт и ждите отчета.
0

#32 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Февраль 2015 - 16:56

Проверка была до того как я сделал то, что вы сказали.
Я запросил перепроверку еще 2-го числа, ответа пока нету - сижу жду.
Очень надеюсь, что ваши рекомендации возымели действие.
0

#33 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 06 Февраль 2015 - 01:52

Админ отписался, что пытались авторизироватся в АЦ с двумя админских аккаунтов (из трех). Пытались один раз для каждого аккаунта. Пароли использовали конкретные, не случайные, что подтверждает предположение взлома через инъекцию и утечку паролей администраторов.
Метка зараженного сайта с него уже сняли после перепроверке в яндекс вебмастере (примерно за три - четыре дня).
0

#34 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 09 Февраль 2015 - 18:20

Наконец-то прошла перепроверка и радость:

Yandex сказал(а):

Последняя проверка сайта 9 Февраля 2015 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.


Огромное спасибо всем и особенно siv1987!!!

Сделал для себя вывод, что медлить с установкой патчей никогда не стоит.
0

#35 Пользователь не на сайте   Obcy ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 16-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 16 Февраль 2015 - 19:24

Guys i have identical problem but i cant find solution.
Can i write here in english language?
0

#36 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 19:34

The solution for this problem is on the first page of the second message. Use google translate.

siv1987 сказал(а):

Основная суть лечения заключается в:

0

#37 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 19:45

You have a virus. Can check this at url myforum.pl/index.php?ipbv=hash&g=js White page means that the forum is infected. You need:
- delete virus from template includeJs, group Globals in admincenter (from all skins). Sometimes the virus is left only in the cache, so proceed to the next step.
- rebuild skins cache
- change passwords all users who have access in admincenter! It is very important.
- change password from database
- change password form ftp
- install the all latest security patches or upgrade to latest version
- additionally find shells on ftp
0

#38 Пользователь не на сайте   Obcy ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 16-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 16 Февраль 2015 - 19:51

Yea i saw that. But i hawe question. On my comunity i have 2 skins. And i dont really know is my includeJS is clean from suspicius code. Below i paste two of my files. Please check it for aditional suspicius code:

http://wklej.org/id/1637307/
http://wklej.org/id/1637306/


Thx a lot
0

#39 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 19:57

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets
0

#40 Пользователь не на сайте   Obcy ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 16-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 16 Февраль 2015 - 20:04

Просмотреть сообщениеsiv1987 16 Февраль 2015 - 19:57 сказал(а):

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets


After this issue is gone, but it back after couple days. But i saw sometching strange. its back always in monday. I was check in ACP and only one cron job runs every monday:

http://prntscr.com/65vsnt


is this posible the problem is something there ?
0

#41 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 20:13

Просмотреть сообщениеObcy сказал(а):

After this issue is gone, but it back after couple days.

You change the password of all administrators? Change password from db? It is important, because allegedly hacking occurs through leakage of passwords. Also, be sure to install the all latest security patches.

Просмотреть сообщениеObcy сказал(а):

is this posible the problem is something there ?

Maybe. But this is a standard task, need to watch the code from this task. Attach the file /admin/applications/core/tasks/minifycleanup.php
0

#42 Пользователь не на сайте   Obcy ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 16-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 16 Февраль 2015 - 20:26

For now i do
- rebuild skins cache
- change passwords all users who have access in admincenter! It is very important.
- change password from database
- change password form ftp
- additionally find shells on ftp <-----------------dont find any strange files


minifycleanup.php but its after recache

http://wklej.org/id/1637342/

0

#43 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 20:37

Просмотреть сообщениеObcy сказал(а):

minifycleanup.php but its after recache

Minify is clean.

Просмотреть сообщениеObcy сказал(а):

For now i do

Ok. Now wait and watch the forum. Pay attention the unsuccessful attempts to log in the admincenter. More code should not appear. If appears again, need a more comprehensive approach to the problem. Most likely somewhere there is a backdoor that want to find.
0

#44 Пользователь не на сайте   Obcy ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 16-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 16 Февраль 2015 - 20:40

Ok... for now i send to you BIG THANKS
0

#45 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 16 Февраль 2015 - 21:03

You are install the latest security patches from the november 2014? Version 3.4.7 installed before this date is vulnerable. Make sure that your distribution is fresh.
0

Сообщить об этой теме:


  • 9 Страниц +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Последняя »


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна