Перейти к содержимому
Русский язык для Invision Community 5

Security update

Рекомендованные сообщения

В моем случае форум был в подпапке сайта, зараза лежала не только во всех папках внутри этой папки, но и в корне сайта и еще даже выше. :(

И я с этим столкнулся.

1) Папка hooks

2) Папка uploads

3) cache

4) cache/lang_cache

5) lang_cache/skin_cache

6) В корне

На самом деле для своевременно пропатчившихся жертв "первой волны" все предельно просто. "Найти все файлы с датой создания > 1.11.2012 и расширением .php". На нормальном форуме подстветятся только патчи и, возможно, кеши скинов. Все что лишнее - шеллы.

 

Другой вопрос в том, что, новые взломы все сложнее и сложнее. Если первая волна состояла из простого закидывания eval-ов, то сейчас встречаются и полноценные руткиты, с прописыванием административных прав, воровством конфигурации mysql и прочими прелестями, от которых поможет только полная переустановка/переконфигурация сервера и скрипта.

У меня все файлы были от 5.11.2012

Значить, все заходим на фтп и смотрим от 1.11.2012.

Как вариант - поиск через ssh, например так:

find www/site_dir -mtime -10d -name "*.php"

Это поиск php файлов, которые были созданы или изменены за последние 10 дней.

в папке аплоад какие файлы поискать, а то 2 меня долго лить эту папку...

2 гб в размере..(((

И мой форум был сломан походу один из первых..

файлы от 01.11.2012 уже загажены..

А вот 27.10.2012 норма..))

Семеныч, восстановили, как у Вас дела???

Вчера чистил 3.3.4 (папка uploads, cache, hooks - кстати, нсчет хуков - они еще и в базу пишут... в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

в boardIndexStatusUpdates вел куда-то в темпы - войти в папку не получилось из-за ограничений со стороны хостера.

 

В содержимом hooks_source в обоих хуках был прописан тот же код, что и в файле с картинкой №128.

 

Само собой, файлы хуков, лежащие в папке hooks - также имели тот же самый код.)

 

На форуме версии 3.1.4 такого не было - только photo-128 и куча какашек в cache.

Семеныч, восстановили, как у Вас дела???

откатился к бэкапу от 27.10.2012...

Все функционирует, полет нормальный...

Ну, слава Богу. Не так страшно - всего 11-12 суток. Знакомые, когда сгорел дата-центр на Украине в апреле 2010 года, потеряли 1.5 месяца жизни форума :(

Ну так базу-то можно оставить (проверив табличку core_hooks_files) - и ничего не потеряется и за 11 суток :)

Почитал тему... Вот так жесть... Мой форум тоже зацепило

Нашел в папке cashe файл 0e168b.php с таким содержанием

image.png

Как я понял что меня ломанули )

  • Автор

Как вариант - поиск через ssh, например так:

find www/site_dir -mtime -10d -name "*.php"

 

На modify time не стоит сильно надеется.

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.