Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Karagor

Яндекс обнаружил вредоносный код на форуме

Рекомендованные сообщения

Наконец-то отработал айболит.

Пришлось запускать на локалке.

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Как разбираться-то с этим всем?

Поделиться сообщением


Ссылка на сообщение

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

У меня там внутри оказалась pdf книга

Поделиться сообщением


Ссылка на сообщение

Вобщем айболит нашел что-то типа шелл-скрипта, но это было в файлах /admin/setup/sources/base/setup.php и /admin/sources/base/ipsRegistry.php - вроде они совпадают с дистрибутивными, но перезалил на всякий случай.

Поделиться сообщением


Ссылка на сообщение
Как разбираться-то с этим всем?

Анализировать каждое уведомление и, если код вызывает подозрение, анализировать код в файле на вредоносность. Многие уведомления через какое-то время отсекаются "битым глазом" на автомате, но естественно нужно знать php и разбираться немного в вопросе безопасности выполняемого кода.

 

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

Это аттачи.

 

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Да, айболит ругается на все подряд. Конкретно он может сказать только если будут совпадения по сигнатурам вирусов, а потенциально опасные функции которые используются для шеллов нужно изучать вручную. Половина вообще может быть мусор типа error_reporting и прочее.

Поделиться сообщением


Ссылка на сообщение

Яндекс при загрузке форума стал показывать новую картинку и ругается конкретно на этот фрагмент

 

<link rel="stylesheet" type="text/css" media='screen,print' href="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css" />

Поделиться сообщением


Ссылка на сообщение

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

Поделиться сообщением


Ссылка на сообщение

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

 

Попробуйте.

Поделиться сообщением


Ссылка на сообщение

После замены файла на исправленный при просмотре кода стоит исправленная ссылка.

Если обновить кеш скина, то заново появляется ссылка на дропбокс.

 

Забавно кстати то, что эта самая картинка не открывается с дропбокса вот с таким сообщением:

 

Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!

Поделиться сообщением


Ссылка на сообщение

Не сам файл правьте, а в самом шаблоне в АЦ. И перерасчет кэша шаблонов обязательно.

Поделиться сообщением


Ссылка на сообщение

Понял...

 

Он кстати в АЦ помечен как добавленный шаблон - желтой точкой.

И при нем стоит значок типа знака "кирпич"

 

"Перерасчет кеша шаблонов" - это я не понял.

Перестроил кеш шаблонов всех на всякий случай и выполнил пункт "обновить данные базового скина".

 

Все, похоже теперь исчезла ссылка из кода.

Поделиться сообщением


Ссылка на сообщение

Ну значит тот css был добавлен руками - просто стороннее дополнение, с ручными правками. Его лучше не удалять, а просто сделать правки.

Поделиться сообщением


Ссылка на сообщение

src="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css"

Точно на этот? Вы не перепутали с этим /index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&g=js? По вашей ссылке только стили подгружаются, а вот во втором варианте как раз грузиться вирус. Смотрите внимательно, эти ссылки легко перепутать - разница в том что стили и скрипты грузятся из папки /public/min/index.php.

 

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.

Да причем здесь ссылки в стилях, это уже параноя. Насколько я знаю через css еще ни один сайт не взламывали.

Поделиться сообщением


Ссылка на сообщение

Сейчас у вас все чисто, редиректов и вредоносных js скриптов нету. Дайте на перепроверку в яндекс вебмастере и ждите результата.

Поделиться сообщением


Ссылка на сообщение

офтопик: О! 6000 постов! ))) Круто!!!

 

Точно не перепутал - всмысле это мне написал яндекс- я же копировал прямо с экрана с красной табличкой.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...