Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Karagor

Яндекс обнаружил вредоносный код на форуме

Recommended Posts

Наконец-то отработал айболит.

Пришлось запускать на локалке.

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Как разбираться-то с этим всем?

Share this post


Link to post

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

У меня там внутри оказалась pdf книга

Share this post


Link to post

Вобщем айболит нашел что-то типа шелл-скрипта, но это было в файлах /admin/setup/sources/base/setup.php и /admin/sources/base/ipsRegistry.php - вроде они совпадают с дистрибутивными, но перезалил на всякий случай.

Share this post


Link to post
Как разбираться-то с этим всем?

Анализировать каждое уведомление и, если код вызывает подозрение, анализировать код в файле на вредоносность. Многие уведомления через какое-то время отсекаются "битым глазом" на автомате, но естественно нужно знать php и разбираться немного в вопросе безопасности выполняемого кода.

 

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

Это аттачи.

 

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Да, айболит ругается на все подряд. Конкретно он может сказать только если будут совпадения по сигнатурам вирусов, а потенциально опасные функции которые используются для шеллов нужно изучать вручную. Половина вообще может быть мусор типа error_reporting и прочее.

Share this post


Link to post

Яндекс при загрузке форума стал показывать новую картинку и ругается конкретно на этот фрагмент

 

<link rel="stylesheet" type="text/css" media='screen,print' href="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css" />

Share this post


Link to post

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

Share this post


Link to post

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

 

Попробуйте.

Share this post


Link to post

После замены файла на исправленный при просмотре кода стоит исправленная ссылка.

Если обновить кеш скина, то заново появляется ссылка на дропбокс.

 

Забавно кстати то, что эта самая картинка не открывается с дропбокса вот с таким сообщением:

 

Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!

Share this post


Link to post

Не сам файл правьте, а в самом шаблоне в АЦ. И перерасчет кэша шаблонов обязательно.

Share this post


Link to post

Понял...

 

Он кстати в АЦ помечен как добавленный шаблон - желтой точкой.

И при нем стоит значок типа знака "кирпич"

 

"Перерасчет кеша шаблонов" - это я не понял.

Перестроил кеш шаблонов всех на всякий случай и выполнил пункт "обновить данные базового скина".

 

Все, похоже теперь исчезла ссылка из кода.

Share this post


Link to post

Ну значит тот css был добавлен руками - просто стороннее дополнение, с ручными правками. Его лучше не удалять, а просто сделать правки.

Share this post


Link to post

src="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css"

Точно на этот? Вы не перепутали с этим /index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&g=js? По вашей ссылке только стили подгружаются, а вот во втором варианте как раз грузиться вирус. Смотрите внимательно, эти ссылки легко перепутать - разница в том что стили и скрипты грузятся из папки /public/min/index.php.

 

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.

Да причем здесь ссылки в стилях, это уже параноя. Насколько я знаю через css еще ни один сайт не взламывали.

Share this post


Link to post

Сейчас у вас все чисто, редиректов и вредоносных js скриптов нету. Дайте на перепроверку в яндекс вебмастере и ждите результата.

Share this post


Link to post

офтопик: О! 6000 постов! ))) Круто!!!

 

Точно не перепутал - всмысле это мне написал яндекс- я же копировал прямо с экрана с красной табличкой.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...