Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Karagor

Яндекс обнаружил вредоносный код на форуме

Recommended Posts

Если редирект в шаблоне, скачайте файлы шаблона (регистрации и пр) и просмотреть их вручную - либо поиском по соответствующем функциям.

Share this post


Link to post
Share on other sites

К сожалению, я на Вы с IPB, а глобального поиска по шаблонам в админке нет, какие именно файлы (таблицы) за это могут отвечать?

Share this post


Link to post
Share on other sites

Кеш шаблона находится на диске - /cache/skin_cache/cacheid_%id/, т.е. php код который отрабатывает.

Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

  • Upvote 1

Share this post


Link to post
Share on other sites

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

 

Правильно ли я понимаю, что нужно исать либо прямой код переадресации <script src, либо base64_decode или preg_replace?

Share this post


Link to post
Share on other sites

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

Share this post


Link to post
Share on other sites

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

 

Уже понял, что приходится двигаться дальше, т.к. поиском по админке вообще очень мало упоминаний всех трёх функций и с виду все безобидные. Бэйсдекод вообще только однажды был и там была ссылка на сайт автора хука. Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.

Share this post


Link to post
Share on other sites
Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.
Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код.

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

sweet.png

  • Upvote 1

Share this post


Link to post
Share on other sites

Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

post-47589-0-62498200-1443684435_thumb.png

 

Спасибо, значит это свиткапча взломана :(. Очень жаль. Надо задуматься о смене капчи.

Но от взломщика я так и не избавился. 4 октября кто-то попытался войти в АЦ под моим именем - не удалось, но он тут же вошёл под другим именем, которое (теперь он неактивированный пользователь) и внес изменения в пару стилей, в таблицу includeJS и еще одну, внеся скрипт. Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Share this post


Link to post
Share on other sites

Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Прочитайте тему целиком. Как правильно лечится от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

Share this post


Link to post
Share on other sites

Прочитайте тему целиком. Как правильно лечить от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

 

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite. Сейчас сменил директорию админки, поставил еще пароль на директорию. Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно, тогда придется тратить деньги. Я просто безработный на данный момент и даже лишняя $20 теперь совсем не лишняя.

Share this post


Link to post
Share on other sites

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite.

ISP это всего лишь панель управления. Поменять пароли на сервере с успехом можно и без нее.

 

Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно

Возможно, и даже проще чем кажется. Без шелла не сервере (с наличием шелла вы хоть весь форум можете переименовать) и доступом в АЦ это сложнее будет сделать, но просто никто не станет заморачиватся.

Share this post


Link to post
Share on other sites

Итак, я решил проверить свой форум на вирусы.

 

Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.

 

Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.

Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл :( )

 

Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.

 

Странно, Яндекс.Вебмастер об угрозах молчит :( На всякий случай, покажу еще sql_latest_error.cgi

 

Спасибо

Share this post


Link to post
Share on other sites
Странно, Яндекс.Вебмастер об угрозах молчит
Значит это не Ваш случай.

 

На всякий случай, покажу еще sql_latest_error.cgi
Атака идет через /interface/ipsconnect/ipsconnect.php. Уязвимость обнаружена еще в ноябре прошлого года.

 

@arthur1, Вам дали 2 ссылки на темы, в одной из которых выложены патчи.

Share this post


Link to post
Share on other sites

@newbie, да, я видел эти патчи, но они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х :(

Share this post


Link to post
Share on other sites

Удалить вирус- выполнить sql запрос-збросить кэш - обновить форум на нормальную версию не НУЛЛ 3.4.8

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...