November 2, 201213 yr ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)если прошурстить у них в /cache/ наверняка и шелл найдется) Патчи от 6 ноября 2012 для ИБР версийhttp://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490
November 9, 201213 yr В моем случае форум был в подпапке сайта, зараза лежала не только во всех папках внутри этой папки, но и в корне сайта и еще даже выше. :(
November 9, 201213 yr И я с этим столкнулся.1) Папка hooks2) Папка uploads3) cache4) cache/lang_cache5) lang_cache/skin_cache6) В корне
November 9, 201213 yr На самом деле для своевременно пропатчившихся жертв "первой волны" все предельно просто. "Найти все файлы с датой создания > 1.11.2012 и расширением .php". На нормальном форуме подстветятся только патчи и, возможно, кеши скинов. Все что лишнее - шеллы. Другой вопрос в том, что, новые взломы все сложнее и сложнее. Если первая волна состояла из простого закидывания eval-ов, то сейчас встречаются и полноценные руткиты, с прописыванием административных прав, воровством конфигурации mysql и прочими прелестями, от которых поможет только полная переустановка/переконфигурация сервера и скрипта.
November 9, 201213 yr У меня все файлы были от 5.11.2012Значить, все заходим на фтп и смотрим от 1.11.2012.
November 9, 201213 yr Как вариант - поиск через ssh, например так:find www/site_dir -mtime -10d -name "*.php"Это поиск php файлов, которые были созданы или изменены за последние 10 дней.
November 9, 201213 yr в папке аплоад какие файлы поискать, а то 2 меня долго лить эту папку...2 гб в размере..(((
November 9, 201213 yr И мой форум был сломан походу один из первых..файлы от 01.11.2012 уже загажены..А вот 27.10.2012 норма..))
November 10, 201213 yr Вчера чистил 3.3.4 (папка uploads, cache, hooks - кстати, нсчет хуков - они еще и в базу пишут... в таблице `core_hooks_files` подменили путь к хукамв boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpgв boardIndexStatusUpdates вел куда-то в темпы - войти в папку не получилось из-за ограничений со стороны хостера. В содержимом hooks_source в обоих хуках был прописан тот же код, что и в файле с картинкой №128. Само собой, файлы хуков, лежащие в папке hooks - также имели тот же самый код.) На форуме версии 3.1.4 такого не было - только photo-128 и куча какашек в cache.
November 10, 201213 yr Семеныч, восстановили, как у Вас дела??? откатился к бэкапу от 27.10.2012...Все функционирует, полет нормальный...
November 10, 201213 yr Ну, слава Богу. Не так страшно - всего 11-12 суток. Знакомые, когда сгорел дата-центр на Украине в апреле 2010 года, потеряли 1.5 месяца жизни форума :(
November 10, 201213 yr Ну так базу-то можно оставить (проверив табличку core_hooks_files) - и ничего не потеряется и за 11 суток :)
November 10, 201213 yr Нашел в папке cashe файл 0e168b.php с таким содержаниемКак я понял что меня ломанули )
November 10, 201213 yr Author Как вариант - поиск через ssh, например так:find www/site_dir -mtime -10d -name "*.php" На modify time не стоит сильно надеется.
ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)
если прошурстить у них в /cache/ наверняка и шелл найдется)
Патчи от 6 ноября 2012 для ИБР версий
http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490