Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
siv1987

Security update

Рекомендованные сообщения

Папку hooks тоже проверяйте, кто еще не делал, туда тоже зараза ложится.

Поделиться сообщением


Ссылка на сообщение

В моем случае форум был в подпапке сайта, зараза лежала не только во всех папках внутри этой папки, но и в корне сайта и еще даже выше. :(

Поделиться сообщением


Ссылка на сообщение

И я с этим столкнулся.

1) Папка hooks

2) Папка uploads

3) cache

4) cache/lang_cache

5) lang_cache/skin_cache

6) В корне

Поделиться сообщением


Ссылка на сообщение

На самом деле для своевременно пропатчившихся жертв "первой волны" все предельно просто. "Найти все файлы с датой создания > 1.11.2012 и расширением .php". На нормальном форуме подстветятся только патчи и, возможно, кеши скинов. Все что лишнее - шеллы.

 

Другой вопрос в том, что, новые взломы все сложнее и сложнее. Если первая волна состояла из простого закидывания eval-ов, то сейчас встречаются и полноценные руткиты, с прописыванием административных прав, воровством конфигурации mysql и прочими прелестями, от которых поможет только полная переустановка/переконфигурация сервера и скрипта.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

У меня все файлы были от 5.11.2012

Значить, все заходим на фтп и смотрим от 1.11.2012.

Поделиться сообщением


Ссылка на сообщение

Как вариант - поиск через ssh, например так:

find www/site_dir -mtime -10d -name "*.php"

Это поиск php файлов, которые были созданы или изменены за последние 10 дней.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

в папке аплоад какие файлы поискать, а то 2 меня долго лить эту папку...

2 гб в размере..(((

Поделиться сообщением


Ссылка на сообщение

И мой форум был сломан походу один из первых..

файлы от 01.11.2012 уже загажены..

А вот 27.10.2012 норма..))

Поделиться сообщением


Ссылка на сообщение

Семеныч, восстановили, как у Вас дела???

Поделиться сообщением


Ссылка на сообщение

Вчера чистил 3.3.4 (папка uploads, cache, hooks - кстати, нсчет хуков - они еще и в базу пишут... в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

в boardIndexStatusUpdates вел куда-то в темпы - войти в папку не получилось из-за ограничений со стороны хостера.

 

В содержимом hooks_source в обоих хуках был прописан тот же код, что и в файле с картинкой №128.

 

Само собой, файлы хуков, лежащие в папке hooks - также имели тот же самый код.)

 

На форуме версии 3.1.4 такого не было - только photo-128 и куча какашек в cache.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Семеныч, восстановили, как у Вас дела???

откатился к бэкапу от 27.10.2012...

Все функционирует, полет нормальный...

Поделиться сообщением


Ссылка на сообщение

Ну, слава Богу. Не так страшно - всего 11-12 суток. Знакомые, когда сгорел дата-центр на Украине в апреле 2010 года, потеряли 1.5 месяца жизни форума :(

Поделиться сообщением


Ссылка на сообщение

Ну так базу-то можно оставить (проверив табличку core_hooks_files) - и ничего не потеряется и за 11 суток :)

Поделиться сообщением


Ссылка на сообщение

Почитал тему... Вот так жесть... Мой форум тоже зацепило

Поделиться сообщением


Ссылка на сообщение

Нашел в папке cashe файл 0e168b.php с таким содержанием

image.png

Как я понял что меня ломанули )

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...