Яндекс обнаружил вредоносный код на форуме - Страница 7 - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • « Первая
  • 5
  • 6
  • 7
  • 8
  • 9

Яндекс обнаружил вредоносный код на форуме

#91 Пользователь не на сайте   Valeon ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 5
  • Регистрация: 22-Май 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 25 Май 2015 - 13:26

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.
Вирус уйдет? Какие мысли?
0

#92 Пользователь на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 25 Май 2015 - 13:38

Просмотреть сообщениеValeon 25 Май 2015 - 13:26 сказал(а):

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.
Вирус уйдет? Какие мысли?


Если нет модулей и тд. Можно все удалить кроме папки uploads, config_global.php, файлов шаблона (картинок), смайлов.

И произвести обновление форума.

Если есть модули, просто в свежий дистрибутив их загрузить.

И после, снова поменять пароли.
0

#93 Пользователь не на сайте   Valeon ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 5
  • Регистрация: 22-Май 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 25 Май 2015 - 14:21

БД использовать напрямую из MySQL или можно сделать бекап форума внутренними средствами IPB?
Как правильней с точки зрения безопастности?
0

#94 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 749
  • Регистрация: 20-Март 09
  • Репутация: 2 282
  • IPB version:3.1.x
 

Отправлено 25 Май 2015 - 15:07

Просмотреть сообщениеValeon сказал(а):

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.
Вирус уйдет? Какие мысли?

Лечение - это комплексный подход, классическая схема которая описана на первой странице темы. Методы лечения были разработаны специалистами согласно этиологии и патогенеза вируса и клинически доказаны. Не занимайтесь самолечением ©.

По факту - "заново" переустановить форум есть смысл при установке новой версии со всеми патчами безопасностями, так как вирус сидит в кеше (если речь идет об этом вирусе) и для его удаления не обязательно переустанавливать форум.
0

#95 Пользователь не на сайте   Valeon ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 5
  • Регистрация: 22-Май 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 25 Май 2015 - 16:34

Странно...
Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно). Как бы не скопировался еще и вирус...
0

#96 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 749
  • Регистрация: 20-Март 09
  • Репутация: 2 282
  • IPB version:3.1.x
 

Отправлено 25 Май 2015 - 17:47

Просмотреть сообщениеValeon сказал(а):

Странно...
Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно).

Valeon, что вам даст "переустановка" форума? В лечении вируса, будь то человеческом или компютерном, нужно исходить из его патогенеза. Благо этот вирус хорошо изучен (условное название "редирект на filestore321 в ipb") - известен способ заражения, его структура и производимые им действия. На основе этих факторов и был разработан метод лечения, который не просто так взят с потолка. Прислушайтесь к советам специалистов, зачем вы спрашиваете "поможет ли мне переустановка форума" и занимаетесь херней, когда есть "официальный" способ лечения с протоколом действий? Вы, простите, вообще тему читали?

Ничего вам переустановка не даст, так как с таким же успехом можно просто обновить кеш стилей и вирус сбросится из временных файлов кеша. Но это не защитит от повторного заражения через ту же самую уязвимость.
"Переустановку" делается при удаление старого форума и установка нового последней версии со всеми патчами безопасностями.
В вашем случае проводится обновление последней версии форума для устранения уязвимостей (либо установка всех патчей безопасности на существующем без обязательной переустановки). А далее все также согласно инструкции.
0

#97 Пользователь не на сайте   Valeon ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 5
  • Регистрация: 22-Май 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 25 Май 2015 - 19:36

Ну я вообщето так и установил. )))
Вирус нашел спасибо! )))
Я думал это частный случай и мысли не было что все болееют одной болячкой. Поэтому и не обратил внимание на конретно этот вирус.
Достаточно поставить последний патч или нужно ставить все с момента установки форума?
0

#98 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 749
  • Регистрация: 20-Март 09
  • Репутация: 2 282
  • IPB version:3.1.x
 

Отправлено 25 Май 2015 - 19:53

Просмотреть сообщениеValeon сказал(а):

Достаточно поставить последний патч или нужно ставить все с момента установки форума?

Все последующие после релиза вашей версии. Критическим является не только последний.
0

#99 Пользователь не на сайте   newmanew ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 2
  • Регистрация: 04-Июнь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 08 Июнь 2015 - 12:39

Добрый день! Заражение произошло на 3.4.6, у меня проблема осложнена тем , что сильно нарушился функционал админки. Вылетает ошибка JavaScript при попытке открыть шаблон. Нельзя поменять текущий шаблон на импротированный. Я нашел шаблоны в БД, но не нашел в них вредоносного кода, кеш вроде как перестраивается, но это не помогает. Выложенным ранее скриптом scan.php понаходил вредоносный код в десятке файлов и удалил (даже в conf_global.php сидел). Обновился до 3.4.7 - вирь осталося, до 3.4.8 - вирь осталося, только поползло окно залогинивания за пределы экрана, вообще ппц теперь. Уже не знаю что делать. Сносить все файлы и подгружать старую БД?
0

#100 Пользователь на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 154
  • Регистрация: 13-Апрель 12
  • Репутация: 327
  • Откуда:no
  • IPB version:1.x
 

Отправлено 08 Июнь 2015 - 13:23

Выполнить всё по пунктам. http://ipbskins.ru/f...dpost__p__89857
0

#101 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 749
  • Регистрация: 20-Март 09
  • Репутация: 2 282
  • IPB version:3.1.x
 

Отправлено 08 Июнь 2015 - 17:35

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.
0

#102 Пользователь не на сайте   newmanew ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 2
  • Регистрация: 04-Июнь 15
  • Репутация: 0
  • IPB version:3.4.x
 

Отправлено 08 Июнь 2015 - 21:48

Просмотреть сообщениеsiv1987 08 Июнь 2015 - 17:35 сказал(а):

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.

Спасибо за ответ. Я, может не правильно выразился, но действия по инструкции не помогают. Эту тему я перечитал несколько раз полностью. Уже и копировал весь форум на комп для проверки айболитом, но в файлах кеша он ничего не находит в продвинутом режиме. И просматривал conf_global.php - он чист. Наверное вирус более хитрый. Ладно, буду устанавливать всё с нуля.
0

#103 Пользователь не на сайте   newbie ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 166
  • Регистрация: 26-Октябрь 11
  • Репутация: 814
  • IPB version:I have no IPB
 

Отправлено 09 Июнь 2015 - 08:41

Просмотреть сообщениеnewmanew сказал(а):

Наверное вирус более хитрый.
Вы хотя бы написали, как он себя проявляет.
А то "следов не вижу, только окно авторизации поплыло"
0

#104 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 749
  • Регистрация: 20-Март 09
  • Репутация: 2 282
  • IPB version:3.1.x
 

Отправлено 09 Июнь 2015 - 09:00

Конкретно этот вирус работу js скриптов не нарушает. Если есть проблемы с их загрузкой, тогда возможно у вас другой случай заражения и лечение требует иного подхода. Чтобы о чем-то говорить, как минимум нужно показать адрес форума, привести данные каким образом вирус себя проявляет, изучать исходный код и результат работы сканеров.
0

#105 Пользователь не на сайте   classicaudio ответил: »

 
 
  • Newbie
  • *
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 8
  • Регистрация: 17-Ноябрь 13
  • Репутация: 0
  • IPB version:I have no IPB
 

Отправлено 29 Сентябрь 2015 - 21:29

Тоже в конце августа подхватил такой вирус с переездом с места на место. Именно этот описанный в начале обнаружился только в кэше на сервере, сами шаблоны были чистые. Похоже через админку внесли изменения в includeJS, перекэшировали и удалили их из админки. Видно через уязвимости угнали пароли админов, т.к. после того как удалил код и поставил все заплатки, которые вывесили на 3.4.6, на следующий же день увидел неудачную попытку залогиниться в админке с IP из Техаса.
Спустя почти месяц яндекс в итоге снял пометку с сайта, о том что на нём вредоносный код.Но тут внял жалобам пользователей и проверил через айфон, работает ли вход, что самое интересное, если входил через вай-фай, то всё работало отлично, но как только заходил через мобильный инет, то тутже работала переадресация на shockwavepub.ru, а оттуда еще на несколько сайтов. Начал смотреть стиль IP.mobile, обнаружился незашифрованный скрипт со ссылкой на этот ресурс в глобальном шаблоне стиля.
Вроде вздохнул спокойно, но начал копаться дальше, еще вписан где-то код с переадрессацией на эплстор (https://admin.appnex...ed-89b8c8a46e25), но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код. Айболит чего-то мне не помог и не нашёл эту закладку.
0

Сообщить об этой теме:


  • 9 Страниц +
  • « Первая
  • 5
  • 6
  • 7
  • 8
  • 9


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна