Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Karagor

Яндекс обнаружил вредоносный код на форуме

Recommended Posts

Так а как найти вирус?

Share this post


Link to post
Share on other sites
они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х

Где вы там уведели прошлогодний патч для 3.1x? Поддержка этой версии закончилась три года назад.

http://ipbskins.ru/forum/topic13571.html#entry89862 (патч от 9 Ноября 2014) и все последующие патчи.

 

Так а как найти вирус?

Какой вирус?

В отчете айболита ничего подозрительного нету.

Share this post


Link to post
Share on other sites

Странно, Яндекс.Вебмастер об угрозах молчит

Странно было если бы форум был заражен а яндекс молчал. В противном случае скорее всего форум чист. Возможно не успели или не смогли расшифровать хеш пароля, либо при входе в АЦ стоит дополнительная авторизация, а без доступа в админцентр встроить вредоносный код намного сложнее.

Share this post


Link to post
Share on other sites

В отчете айболита ничего подозрительного нету.

 

Так значит беспокоится не о чем. А как же sql_latest_error.cgi? Просто поставить патч и всё?

Share this post


Link to post
Share on other sites
А как же sql_latest_error.cgi? Просто поставить патч и всё?

Ошибка в sql логе говорит о том, что на форуме проводилась sql инъекция которая позволяет получить произвольный доступ к данным форума, к таким как ключ авторизации, хеш пароля и прочим. Имея эти данные злоумышленник, расшифровав хеш, может авторизоваться на форуме под любой учетной записью имеющей доступ в АЦ. Отсюда надеюсь понятно, что одними патчами уже нельзя обойтись. Следует также сменить все пароли администраторов (с обязательным сбросом ключа авторизации), чьи хеши скомпрометированы и которыми злоумышленник может воспользоваться. Получить конфиденциальные данные это тоже считается взломом, не только дефейс или инфицирование сайта.

  • Upvote 1

Share this post


Link to post
Share on other sites

Здравствуйте! Перечитал всю тему. Просканировал манулом, но вредоносного кода не обнаружил, при этом ТП яндекс прислал письмо

"К сожалению, на Вашем сайте повторно появился указанный ниже вредоносный код:

 

document.location='http://url4short.info/c64bad21'

 

при подгрузке следующего url:

 

autopaty.com.ua/index.php?ipbv=9fea7de314a3082c69f1615e16d6b1c8&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код."

Share this post


Link to post
Share on other sites

Не знаю каким образом вы перечитали всю тему, потому что лечение от этого вируса обсуждалось здесь стопиццот раз прямо со второго сообщения. Я не услышал ни одного конкретного пункта который вы должно были проделать, а для эффективного лечения их нужно выполнить все. Попробуйте еще раз перечитать тему, и на этот раз вникать в суть написанного. Не получается - обращайтесь к услугам специалистов, мы всегда будем рады вам помочь.

Share this post


Link to post
Share on other sites

Быстро просканировав сайт скриптом от siv1987

 

Получил такой результат:

 

От яндекса получил такое письмо:

На Вашем сайте периодически появляется указанный ниже вредоносный код: document.location='http://url4short.info/62decc30' при подгрузке следующего url: nlc-zone.ru/forum/public/min/index.php?ipbv=b7af755633926f5a00313de81c8c7342&g=js

 

1. Кеш стилей и языков обновил

2. пароли сменил

3. отключил сжатие JS / CSS

 

Окромя того что нашел scan.php нигде ничего нет :(

Share this post


Link to post
Share on other sites
Быстро просканировав сайт скриптом от siv1987

Этот скрипт не предназначен для поиска вирусов и лишь служит для быстрого поиска некоторых функций используемых в бэкдорах. Для поиска вирусов используйте специализированые скрипты и по.

 

 

Окромя того что нашел scan.php нигде ничего нет

Если вы проделали все пункты - дайте на перепроверку и ждите результат.

Сжатие css не имеет никакого отношения, не знаю откуда вы это взяли, а вот обновления безопасности ставить нужно, иначе все остальное будет бесполезно.

Share this post


Link to post
Share on other sites

Все решилось перестроением кешей стилей, сменой паролей и переименовыванием папки admin.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...