Яндекс обнаружил вредоносный код на форуме

[Valeon 0]

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?

[Атаман 460]

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?

 

Если нет модулей и тд. Можно все удалить кроме папки uploads, config_global.php, файлов шаблона (картинок), смайлов.

 

И произвести обновление форума.

 

Если есть модули, просто в свежий дистрибутив их загрузить.

 

И после, снова поменять пароли.

[Valeon 0]

БД использовать напрямую из MySQL или можно сделать бекап форума внутренними средствами IPB?

Как правильней с точки зрения безопастности?

[siv1987 2628]

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?

Лечение - это комплексный подход, классическая схема которая описана на первой странице темы. Методы лечения были разработаны специалистами согласно этиологии и патогенеза вируса и клинически доказаны. Не занимайтесь самолечением ©.

 

По факту - "заново" переустановить форум есть смысл при установке новой версии со всеми патчами безопасностями, так как вирус сидит в кеше (если речь идет об этом вирусе) и для его удаления не обязательно переустанавливать форум.

[Valeon 0]

Странно...

Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно). Как бы не скопировался еще и вирус...

[siv1987 2628]

Странно...

Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно).

@Valeon, что вам даст "переустановка" форума? В лечении вируса, будь то человеческом или компютерном, нужно исходить из его патогенеза. Благо этот вирус хорошо изучен (условное название "редирект на filestore321 в ipb") - известен способ заражения, его структура и производимые им действия. На основе этих факторов и был разработан метод лечения, который не просто так взят с потолка. Прислушайтесь к советам специалистов, зачем вы спрашиваете "поможет ли мне переустановка форума" и занимаетесь херней, когда есть "официальный" способ лечения с протоколом действий? Вы, простите, вообще тему читали?

 

Ничего вам переустановка не даст, так как с таким же успехом можно просто обновить кеш стилей и вирус сбросится из временных файлов кеша. Но это не защитит от повторного заражения через ту же самую уязвимость.

"Переустановку" делается при удаление старого форума и установка нового последней версии со всеми патчами безопасностями.

В вашем случае проводится обновление последней версии форума для устранения уязвимостей (либо установка всех патчей безопасности на существующем без обязательной переустановки). А далее все также согласно инструкции.

[Valeon 0]

Ну я вообщето так и установил. )))

Вирус нашел спасибо! )))

Я думал это частный случай и мысли не было что все болееют одной болячкой. Поэтому и не обратил внимание на конретно этот вирус.

Достаточно поставить последний патч или нужно ставить все с момента установки форума?

[siv1987 2628]

Достаточно поставить последний патч или нужно ставить все с момента установки форума?

Все последующие после релиза вашей версии. Критическим является не только последний.

[newmanew 0]

Добрый день! Заражение произошло на 3.4.6, у меня проблема осложнена тем , что сильно нарушился функционал админки. Вылетает ошибка JavaScript при попытке открыть шаблон. Нельзя поменять текущий шаблон на импротированный. Я нашел шаблоны в БД, но не нашел в них вредоносного кода, кеш вроде как перестраивается, но это не помогает. Выложенным ранее скриптом scan.php понаходил вредоносный код в десятке файлов и удалил (даже в conf_global.php сидел). Обновился до 3.4.7 - вирь осталося, до 3.4.8 - вирь осталося, только поползло окно залогинивания за пределы экрана, вообще ппц теперь. Уже не знаю что делать. Сносить все файлы и подгружать старую БД?

[Атаман 460]

Выполнить всё по пунктам. http://ipbskins.ru/forum/topic13571.html/page__view__findpost__p__89857

[siv1987 2628]

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.

[newmanew 0]

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.

Спасибо за ответ. Я, может не правильно выразился, но действия по инструкции не помогают. Эту тему я перечитал несколько раз полностью. Уже и копировал весь форум на комп для проверки айболитом, но в файлах кеша он ничего не находит в продвинутом режиме. И просматривал conf_global.php - он чист. Наверное вирус более хитрый. Ладно, буду устанавливать всё с нуля.

[newbie 1722]

Наверное вирус более хитрый.

Вы хотя бы написали, как он себя проявляет.

А то "следов не вижу, только окно авторизации поплыло"

[siv1987 2628]

Конкретно этот вирус работу js скриптов не нарушает. Если есть проблемы с их загрузкой, тогда возможно у вас другой случай заражения и лечение требует иного подхода. Чтобы о чем-то говорить, как минимум нужно показать адрес форума, привести данные каким образом вирус себя проявляет, изучать исходный код и результат работы сканеров.

[classicaudio 0]

Тоже в конце августа подхватил такой вирус с переездом с места на место. Именно этот описанный в начале обнаружился только в кэше на сервере, сами шаблоны были чистые. Похоже через админку внесли изменения в includeJS, перекэшировали и удалили их из админки. Видно через уязвимости угнали пароли админов, т.к. после того как удалил код и поставил все заплатки, которые вывесили на 3.4.6, на следующий же день увидел неудачную попытку залогиниться в админке с IP из Техаса.

Спустя почти месяц яндекс в итоге снял пометку с сайта, о том что на нём вредоносный код.Но тут внял жалобам пользователей и проверил через айфон, работает ли вход, что самое интересное, если входил через вай-фай, то всё работало отлично, но как только заходил через мобильный инет, то тутже работала переадресация на shockwavepub.ru, а оттуда еще на несколько сайтов. Начал смотреть стиль IP.mobile, обнаружился незашифрованный скрипт со ссылкой на этот ресурс в глобальном шаблоне стиля.

Вроде вздохнул спокойно, но начал копаться дальше, еще вписан где-то код с переадрессацией на эплстор (https://admin.appnext.com/ClickUrl.html?id=2f50022d-9f04-4fae-b59a-9175e731d3a2&pbk=wNGLJOFEDTRD3AFNGBFJL0EC&subid=b59c4a85-ee07-41d1-b5ed-89b8c8a46e25), но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код. Айболит чего-то мне не помог и не нашёл эту закладку.