Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Папку hooks тоже проверяйте, кто еще не делал, туда тоже зараза ложится.

Share this post


Link to post
Share on other sites

В моем случае форум был в подпапке сайта, зараза лежала не только во всех папках внутри этой папки, но и в корне сайта и еще даже выше. :(

Share this post


Link to post
Share on other sites

И я с этим столкнулся.

1) Папка hooks

2) Папка uploads

3) cache

4) cache/lang_cache

5) lang_cache/skin_cache

6) В корне

Share this post


Link to post
Share on other sites

На самом деле для своевременно пропатчившихся жертв "первой волны" все предельно просто. "Найти все файлы с датой создания > 1.11.2012 и расширением .php". На нормальном форуме подстветятся только патчи и, возможно, кеши скинов. Все что лишнее - шеллы.

 

Другой вопрос в том, что, новые взломы все сложнее и сложнее. Если первая волна состояла из простого закидывания eval-ов, то сейчас встречаются и полноценные руткиты, с прописыванием административных прав, воровством конфигурации mysql и прочими прелестями, от которых поможет только полная переустановка/переконфигурация сервера и скрипта.

  • Upvote 1

Share this post


Link to post
Share on other sites

У меня все файлы были от 5.11.2012

Значить, все заходим на фтп и смотрим от 1.11.2012.

Share this post


Link to post
Share on other sites

Как вариант - поиск через ssh, например так:

find www/site_dir -mtime -10d -name "*.php"

Это поиск php файлов, которые были созданы или изменены за последние 10 дней.

  • Upvote 1

Share this post


Link to post
Share on other sites

в папке аплоад какие файлы поискать, а то 2 меня долго лить эту папку...

2 гб в размере..(((

Share this post


Link to post
Share on other sites

И мой форум был сломан походу один из первых..

файлы от 01.11.2012 уже загажены..

А вот 27.10.2012 норма..))

Share this post


Link to post
Share on other sites

Семеныч, восстановили, как у Вас дела???

Share this post


Link to post
Share on other sites

Вчера чистил 3.3.4 (папка uploads, cache, hooks - кстати, нсчет хуков - они еще и в базу пишут... в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

в boardIndexStatusUpdates вел куда-то в темпы - войти в папку не получилось из-за ограничений со стороны хостера.

 

В содержимом hooks_source в обоих хуках был прописан тот же код, что и в файле с картинкой №128.

 

Само собой, файлы хуков, лежащие в папке hooks - также имели тот же самый код.)

 

На форуме версии 3.1.4 такого не было - только photo-128 и куча какашек в cache.

  • Upvote 1

Share this post


Link to post
Share on other sites

Семеныч, восстановили, как у Вас дела???

откатился к бэкапу от 27.10.2012...

Все функционирует, полет нормальный...

Share this post


Link to post
Share on other sites

Ну, слава Богу. Не так страшно - всего 11-12 суток. Знакомые, когда сгорел дата-центр на Украине в апреле 2010 года, потеряли 1.5 месяца жизни форума :(

Share this post


Link to post
Share on other sites

Ну так базу-то можно оставить (проверив табличку core_hooks_files) - и ничего не потеряется и за 11 суток :)

Share this post


Link to post
Share on other sites

Почитал тему... Вот так жесть... Мой форум тоже зацепило

Share this post


Link to post
Share on other sites

Нашел в папке cashe файл 0e168b.php с таким содержанием

image.png

Как я понял что меня ломанули )

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...