Взломан форум...

Автор VaKa, 21 сентября 2014, 20:08:56

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

VaKa

Здравствуйте. Если тема не в том разделе, перенесите, пожалуйста.

Проблема существует с 19.09. В шапке форума вдруг появилась реклама от гугла. У нас аккаунта в adsense нет. Код рекламы был вписан в файл index.template.php. Выглядит таким образом:

echo '<div align="center"><div align="center">
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- ads1 -->
<ins class="adsbygoogle"
     style="display:inline-block;width:728px;height:90px"
     data-ad-client="ca-pub-7897366512601468"
     data-ad-slot="4933681431"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script></div></div>';


Удалили. Появилось снова. Удалили. И так вот уже третий день удаляем вручную... Рекламные блоки появляются снова.

Версия smf при взломе была 2.0.6.
Написали вчера хостеру рег.ру. Как обычно - ни ответа, ни привета.
Написали в гугл (форма для извещения о несанкционированном коде adsense) - тоже молчат.
На хостинге явных следов взлома нет, всё выглядит как обычно...
Помяняли все пароли от сайта/форума/хостинга - не помогает.

А сейчас вот на админский мэйл пришла "вежливая" отписка от этой твари (внезапно на английском). Мол я хакер, оставьте мою рекламу на вашем форуме, я не хочу его уничтожать и пр. Я вас типа "защищать" зато буду. Ага.

Может кто в курсе, чего нам теперь делать? Если так, то подскажите, пожалуйста. Я нифига не программист, поэтому сама форуму помочь не смогу без вашей помощи... Заранее спасибо за подсказки.

Yarik

Пароль доступа по FTP поменяли?

VaKa

Цитата: Yarik от 21 сентября 2014, 20:16:21
Пароль доступа по FTP поменяли?
Да. Еще 19 числа.


Depressive



Depressive

Цитата: digger® от 21 сентября 2014, 22:24:44Убрать чужой шелл, оставить свой?
акститесь товарищь))))) у меня не так давно была похожая ситуация.... разобрался быстро)))

digger®

Цитата: Depressive от 21 сентября 2014, 22:30:31
акститесь товарищь))))) у меня не так давно была похожая ситуация.... разобрался быстро)))
Ну так поделились бы со всеми мудростью сакральной, тут ведь не раздел предложений работы и ТС вроде подсказку просил.

Depressive

#8
1 - Включить на хостинге логи, чтобы видеть, какие файлы были изменены в определенный промежуток времени.
2 - хотелось, бы иметь доступ хотя бы к FTP чтобы посмотреть глазками (у меня нет причин гадить девушке))))), поэтому и написал в личку.

зы : ТС, самый главный вопрос... Вы бэкапили файлы форума до взлома?

VaKa

Здравствуйте, и извините за молчание.

Доступ к форуму/сайту будет завтра вечером или в среду, когда вернется "тех.админ". Мы забрали доступ к БД у всех аккаунтов, кроме его, чтобы хоть как-то уменьшить возможные точки доступа (может, и глупо, конечно).

Вычистили свои компы. У меня был троян(
Форум бэкапит наш хостер. Есть бэкапы за каждый день, да.
Логи у хостера попросили. Они все еще тянут с ответом.

Depressive, большое спасибо за ваше предложение! Я вам дам данные для входа... надеюсь, зватра-послезавтра еще не поздно и у вас будет время?)

digger®, мы сделали диагностику, спасибо. Не подскажете, чего с результатами делать дальше?

Depressive

Цитата: VaKa от 22 сентября 2014, 15:53:36надеюсь, зватра-послезавтра еще не поздно и у вас будет время?)

конечно. как получится, высылайте в личку.
то, что есть бэкапы это очень хорошо.. считайте 95% успеха именно в них.

bms

#11
А пароль от входа в личный кабинет хостинга меняли? Еще как вариант, проверить установленные моды, может кто для SEO оптимизации, что-нибудь поставил?
Версия форума: SMF 2.0 RC4
Версия GD: bundled (2.0.34 compatible)
Версия MySQL: 5.5.34-32.0
PHP: 5.2.17
Версия Web сервера: Apache/1.3.34 (Unix) mod_deflate/1.0.21 PHP/5.2.17 rus/PL30.22

VaKa

Цитата: bms от 22 сентября 2014, 18:23:05
А пароль от входа в личный кабинет хостинга меняли? Еще как вариант, проверить установленные моды, может кто для SEO оптимизации, что-нибудь поставил?
Пароли поменяли абсолютно все.
Я примерно год назад общалась со знакомым программистом, он как раз безопасностью занимается, ну вот он сказал, что сайт как решето, как раз из-за модов. Плюс WP коряво установлен. Он даже некоторые дыры закрывал, но, видимо, либо мы их опять наделали, либо их было слишком много...

А эта тварь развлекается. Уже и снизу рекламу повесил.

ВладимирК

У меня из компьютера вирус в секунду украл пароли.
Я из с дури в текстах хранил и через ФТП тоже поставили типа вирус.
Гугль письмо прислал а так бы и не знал.
Теперь пароли храню в записной книжке.

bms

А у вас на хостинге один сайт крутится, может соседние с болячкой?

На крайняк - переустановить форум, восстановить базу данных, по одному ставить заново моды и смотреть результат.

Версия форума: SMF 2.0 RC4
Версия GD: bundled (2.0.34 compatible)
Версия MySQL: 5.5.34-32.0
PHP: 5.2.17
Версия Web сервера: Apache/1.3.34 (Unix) mod_deflate/1.0.21 PHP/5.2.17 rus/PL30.22

Mavn

Вам не помешало бы все же получить логи апача. Если в компах своих уверены то данные логи помогут выяснить как происходил взлом. Возможно ломаюют не сам форум, а сопутствующее по... например wp
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

VaKa

Короче, мы, похоже, как-то сами справились (надолго ли - не знаю). Большое вам всем спасибо за помощь и подсказки :)

Посмотрели логи. Кроме нас и работников хостинга через FTP никто не заходил (IP работников засветились в тот момент, когда они как раз заходили за логами, похоже, т.е. уже после возникновения проблемы).

Вирусов, троянов и пр. пакости в файлах не обнаружено. Зато был троян на моем компе, каюсь...

Айболит показал 5 (предложительно) шеллов в файлах сайта. На поверку это оказывались либо моды (сравнивали с оригиналами - то же самое, т.е. лишних кодов там нет), либо вообще обычными файлами ВП (тоже ничего лишнего - проверяли вручную). Моды были нерабочими, т.е. к тому моменту деактивированными, мы их удалили. А также убрали контактную форму... Файлы все удалили и залили "чистые". Запретили загружать авы непосредственно на форум.

... Одна интересность всё же была. В библиотеке сайта среди всяких разных картинок внезапно обнаружился странный файл с кодом. Мы его, ессно, не заливали и впервые видим. Загружен он был где-то в середине сентября. И вроде папка лишняя на форуме оказалась... надо переспросить у "тех.админа"...

VaKa

#17
"Ничего не предвещало", а вчера таки реклама вылезла снова. Да не какая-то, а сплошная порнуха (отмостил мелко, что ли?). Спасибо одному из наших пользователей, он мне дал ссылку вот на это. Проверили вручную все аватары... и правда - несколько загруженных файлов .png.tmp, причем залиты они были давныыым-давно, поэтому старые файлы, которые мы скопировали и внесли на форум вместо "зараженных", тоже были заражены. Странно, что айболит эти файлы проигнорировал.

Мы запретили загружать аватары на форум, т.е. пользователи теперь могут только давать ссылку на картинку, лежащую на стороннем фотохостинге. Надеюсь, так мы решим проблему раз и навсегда. Пока полет нормальный...

digger®

Цитата: VaKa от 28 сентября 2014, 17:04:31Странно, что айболит эти файлы проигнорировал.
Потому что, вы экспресс сканирование делаете, при котором проверяются только файлы, заражение которых более вероятно.

VaKa

#19
Цитата: digger® от 28 сентября 2014, 18:18:20
Потому что, вы экспресс сканирование делаете, при котором проверяются только файлы, заражение которых более вероятно.
Нет... мы сканировали на самом "жестком" режиме. На 2, вроде. Но как я сейчас выяснила, сканировали файлы до 5МБ (а по умолчанию там совсем мало стояло), поэтому эти файлы туда не попали, т.к. были шесть с чем-то МБ. Не повезло...

VaKa

wallbash

Заказываем лечение у специалистов. Мы слишком примитивные для самостоятельной помощи самим себе :facepalm:


VaKa

Цитата: digger® от 29 сентября 2014, 21:29:03
Могу посмотреть.
... милая у вас подпись под авой, извините за офф laugh

Ответила в лс.


VaKa

Хочу сказать огромное спасибо digger® за помощь в решении данной проблемы! Он таки добился того, что на форуме не болтается чужая реклама, при входе не перекидывает на др. сайт и вредитель больше не может творить свои мерзкие дела у нас 8) Ну, и за невольный ликбез благодарю, и за терпение в раскладывании по полочкам непонятных моментов, коих было дофига и больше.

digger®, вы просто золото, спасибо вам от меня и всех пользователей форума! ::)


Krazy

А не расскажите в чем было дело?

digger®

#27
Цитата: Krazy от 10 октября 2014, 00:37:54
А не расскажите в чем было дело?
Кто-то, когда-то сгенерировал себе ssh public key и пакостил  подключаясь по ssh, а так как это shared hosting, то такие логи там недоступны, а смена паролей через панель сгенерированные ключи не меняет. Когда по запросу предоставили логи ssh, стало понятно в чем дело. Ключи обнаружили и удалили. Форум почистили и привели в порядок.

leon


Цитироватьпри входе не перекидывает на др. сайт и вредитель больше не может творить свои мерзкие дела у нас
Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д. Не думаю, что вы сами этот код ставили.
Кроме того очень медленно грузятся страницы, у вас в файле .htaccess ничего лишнего нет?

valek0972

Цитата: leon от 18 ноября 2014, 20:05:17Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д. Не думаю, что вы сами этот код ставили.
Не у вас случайно у самого на компе что то твориться, никакой рекламы и тд. не заметил и близко.

Цитата: leon от 18 ноября 2014, 20:05:17Кроме того очень медленно грузятся страницы, у вас в файле
Если это медленно открываются страницы, тогда я не знаю:
Откуда вы вообще брали данные.

BoPoH

[offtopmode]
а как сделан такой вывод категорий в 2 столбца?
[/offtopmode]
::)

leon

ЦитироватьОткуда вы вообще брали данные.
Какие именно данные?

ALINA

Цитата: leon от 18 ноября 2014, 20:05:17Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д.
На форуме все чисто там . Никаких лишних окон .Спецом адблок отключила Страница сгенерирована за 0.041 секунд. Запросов: 17.

gorbi

Господа, а кто-то может дать несколько бесплатных советов в мало букв на что обратить внимание на итогам случившегося и не только. По типу делай раз, делай два и т.д. Спасибо.

Некто

Цитата: BoPoH от 18 ноября 2014, 21:11:02а как сделан такой вывод категорий в 2 столбца?
кстати, тоже заинтересовало, как?)
я не веб-мастер, я только учусь)

GeorG

Цитата: BoPoH от 18 ноября 2014, 21:11:02а как сделан такой вывод категорий в 2 столбца?
Под заказ - http://www.simplemachines.ru/index.php?topic=16401.0
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

ALINA

#36
del