Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Karagor

Яндекс обнаружил вредоносный код на форуме

Рекомендованные сообщения

Если редирект в шаблоне, скачайте файлы шаблона (регистрации и пр) и просмотреть их вручную - либо поиском по соответствующем функциям.

Поделиться сообщением


Ссылка на сообщение

К сожалению, я на Вы с IPB, а глобального поиска по шаблонам в админке нет, какие именно файлы (таблицы) за это могут отвечать?

Поделиться сообщением


Ссылка на сообщение

Кеш шаблона находится на диске - /cache/skin_cache/cacheid_%id/, т.е. php код который отрабатывает.

Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

 

Правильно ли я понимаю, что нужно исать либо прямой код переадресации <script src, либо base64_decode или preg_replace?

Поделиться сообщением


Ссылка на сообщение

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

Поделиться сообщением


Ссылка на сообщение

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

 

Уже понял, что приходится двигаться дальше, т.к. поиском по админке вообще очень мало упоминаний всех трёх функций и с виду все безобидные. Бэйсдекод вообще только однажды был и там была ссылка на сайт автора хука. Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.

Поделиться сообщением


Ссылка на сообщение
Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код.

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

sweet.png

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

post-47589-0-62498200-1443684435_thumb.png

 

Спасибо, значит это свиткапча взломана :(. Очень жаль. Надо задуматься о смене капчи.

Но от взломщика я так и не избавился. 4 октября кто-то попытался войти в АЦ под моим именем - не удалось, но он тут же вошёл под другим именем, которое (теперь он неактивированный пользователь) и внес изменения в пару стилей, в таблицу includeJS и еще одну, внеся скрипт. Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Поделиться сообщением


Ссылка на сообщение

Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Прочитайте тему целиком. Как правильно лечится от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

Поделиться сообщением


Ссылка на сообщение

Прочитайте тему целиком. Как правильно лечить от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

 

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite. Сейчас сменил директорию админки, поставил еще пароль на директорию. Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно, тогда придется тратить деньги. Я просто безработный на данный момент и даже лишняя $20 теперь совсем не лишняя.

Поделиться сообщением


Ссылка на сообщение

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite.

ISP это всего лишь панель управления. Поменять пароли на сервере с успехом можно и без нее.

 

Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно

Возможно, и даже проще чем кажется. Без шелла не сервере (с наличием шелла вы хоть весь форум можете переименовать) и доступом в АЦ это сложнее будет сделать, но просто никто не станет заморачиватся.

Поделиться сообщением


Ссылка на сообщение

Итак, я решил проверить свой форум на вирусы.

 

Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.

 

Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.

Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл :( )

 

Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.

 

Странно, Яндекс.Вебмастер об угрозах молчит :( На всякий случай, покажу еще sql_latest_error.cgi

 

Спасибо

Поделиться сообщением


Ссылка на сообщение
Странно, Яндекс.Вебмастер об угрозах молчит
Значит это не Ваш случай.

 

На всякий случай, покажу еще sql_latest_error.cgi
Атака идет через /interface/ipsconnect/ipsconnect.php. Уязвимость обнаружена еще в ноябре прошлого года.

 

@arthur1, Вам дали 2 ссылки на темы, в одной из которых выложены патчи.

Поделиться сообщением


Ссылка на сообщение

@newbie, да, я видел эти патчи, но они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х :(

Поделиться сообщением


Ссылка на сообщение

Удалить вирус- выполнить sql запрос-збросить кэш - обновить форум на нормальную версию не НУЛЛ 3.4.8

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...