[Админам]

Quote:

An exploit has come to our attention that necessitates the release of a Patch for all currently supported versions, including

vBSEO 3.6.0
vBSEO 3.5.2
vBSEO 3.5.1 (including PL release)
vBSEO 3.5.0


Versions below 3.5.0 are no longer supported and have met end of life. If you are running 3.5.0 or lower, it is highly suggested that you upgrade to a newer build immediately.

Вообщем кто не обновиться - тому пипец приснится незаметно.

Фикс вручную:
Открываем: /vbseo/includes/functions_vbseocp_abstract.php
Находим:

PHP Code:

public static function proc_deutf($ptxt, $tocharset)
{
$ptxt = preg_replace('#\'([^\']*)(\'\s*\=\>)#mie', '"\'".(($_s = iconv("UTF-8", \''.$tocharset.'\', "$1")) ? $_s : "$1").stripslashes(\'$2\')', $ptxt);
return $ptxt;
} 


Заменяем:

PHP Code:

public static function proc_deutf($ptxt, $tocharset)
{
$ptxt = preg_replace('#\'([^\']*)(\'\s*\=\>)#mie', '"\'".(($_s =  iconv("UTF-8", \''.$tocharset.'\', \'$1\')) ? $_s :  \'$1\').stripslashes(\'$2\')', $ptxt);
return $ptxt;
} 


В файле "vbseo/includes/functions_vbseo_vb.php"
Найти (первое вхождение):

PHP Code:

vbseo_int_var($ids); 


Ниже вставить:

PHP Code:

vbseo_int_var($aids); 


Актуальную версию с фиксом см. ниже

Quote:

Originally Posted by kerk

а вот это и есть какерский добавленный код

тоесть эту строку надо удалить?

у кого-то еще она была?

Quote:

Originally Posted by Grush

эту строку надо удалить?

ну... можешь оставить
какер повесилится

Как уже написала Luvilla форум можно вылечить через БД или перезаписью любого модуля.
Я тоже добавлю вариантик для новичков, для тех кто не знает баз данных, боится трогать чтоб не удалить чего лишнего, для тех кто не особо ориентируется в глубинах движка.

Первый симптом заражения - это пропал траф из Яндекса. Яндекс в отличие от гугла очень четко и быстро реагирует на такое дело. Если начать лечение форума оперативно, то можно сохранить страницы в индексе, поэтому не спим.

Если форум заражен, то простейшая проверка заражения это вбить название вашего домена в строку поиска, как: мойсайт.ру и перейти по результату поиска на ваш домен. В результате вас перекинет не на ваш сайт, а на буржуйского гада, который ваш форум и подсадил на иглу.

Лечение (самое простое обновлением vbSEO):
Качаете vbSEO версии 3.6.0 в теме http://vbsupport.org/forum/showthread.php?t=33201
Ставите заплатку из этой темы (там файл лежит не пропатченный)
Закрываете свой форум
Удаляете свой старый продукт vbSEO и все файлы старой версии, предварительно сделав бэкап и сохранив настройки урлов.
Устанавливаете свою версию
Импортируете настройки
Открываете форум для юзеров

Все, ваш форум уже вылечен

Quote:

Originally Posted by Veterblack

Лечение (самое простое обновлением vbSEO)

мне кажется, тут лечение вряд ли поможет, только ампутация...

kerk, я не согласен
Ну да, есть щели в продукте. Но у него нет альтернативы на самом деле. Ведь кроме ЧПУ в нем куча всяких полезностей для ПС. При использовании vbSEO трафик из Яндекса (кстати гугл меньше подвержен) возрастает в 3-4 раза. Так что тут приходится либо не использовать и спать спокойно, где ключевое слово спать (Кто найдет молодой форум то?) либо рисковать...

Quote:

Originally Posted by Veterblack

Но у него нет альтернативы на самом деле.

альтернатива то как раз есть - НЕ использовать "это"

Quote:

Originally Posted by Veterblack

Ведь кроме ЧПУ в нем куча всяких полезностей для ПС. При использовании vbSEO трафик из Яндекса (кстати гугл меньше подвержен) возрастает в 3-4 раза.

это всё довольно интересно...
но это только слова
да, и ещё важно - какую цель ставит хозяин форума? что нужно-то, активные юзера или посещение гостей?
был у меня опыт с сео, был и без
знаю я форумы безо всякого сео, 1200 минимум юзеров он-лайн, модеров катастрофически не хватает, они не успевают прочитывать новые посты; знаю форумы с сео, полторы калеки включая гостей и ботов, два новых поста в сутки - счастье

Проводил кто эксперимент в чистом виде? покажите. Докажите мне, практически, чтобы это можно было увидеть в чистом виде
форумы идентичной тематики, с похожими доменами в одной зоне, одного возраста, с сео и без - покажите статистику, через месяц после старта, через полгода
если через полгода после старта форум с сео будет в разы раскрученнее, чем без оного, и это будет чётко видно, я распечатаю эту страницу и съем свой пост
только не надо приводить как доказательство количество страниц в выдаче и прочие сео-штучки. Будем сравнивать количество живых юзеров и постов.

да, ещё...

Quote:

Originally Posted by Veterblack

в нем куча всяких полезностей для ПС

для ПС - может быть.
Для админа - нифига не полезности.
Для людей (просто людей, которые пришли на форум, но ещё гости) - многое из функционала сео НЕ нужно, а часто - вредно. Неудобно как минимум. Для зарегистрированных юзеров, кстати, тоже.
И это я даже не заикаюсь о дырах, которые были, есть, и будут найдены. Я говорю только о внешних проявлениях работы вбсео, для юзеров

Quote:

Originally Posted by kerk

альтернатива то как раз есть - НЕ использовать "это"

kerk, я понимаю конечно, что многие форумчане противники vbSEO из-за безопасности, да?
В прошлом году у меня ломанули пять сайтов на DLE, и теперь что не использовать этот движок? Ну это просто реалии вебмастера. Время течет, меняется все, находят новые дырки злостные школохакеры. Но это ведь не повод не использовать удобную вообщем то вещь.

Quote:

Originally Posted by Luvilla

да, и ещё важно - какую цель ставит хозяин форума? что нужно-то, активные юзера или посещение гостей?

Лью, дорогая Хозяин форум ставит комплексные цели: активные юзеры + извлечение бабла, если конечно форум не хобби изможденного нарзаном айтишника Потому как без бабла нет развития, идет застой, и простые в других случаях цели становятся недостижимыми.

Quote:

Originally Posted by Luvilla

знаю я форумы безо всякого сео, 1200 минимум юзеров он-лайн, модеров катастрофически не хватает, они не успевают прочитывать новые посты; знаю форумы с сео, полторы калеки включая гостей и ботов, два новых поста в сутки - счастье

Ну само собой, кто же возражает. Да все старые форумы без сео так живут. По кило юзеров онлайн, и тысячи постов. Но речь ведь не о них, хотя и их достаточно много. Ты попробуй с форумом с нуля достигнуть десятой доли тех вершин что есть у старых без сео штучек! Чем дольше форум в сети, тем проще раскрутка, новичкам вообще жопа от Яндекса в частности!

Quote:

Originally Posted by Luvilla

Проводил кто эксперимент в чистом виде? покажите. Докажите мне, практически, чтобы это можно было увидеть в чистом виде
форумы идентичной тематики, с похожими доменами в одной зоне, одного возраста, с сео и без - покажите статистику, через месяц после старта, через полгода
если через полгода после старта форум с сео будет в разы раскрученнее, чем без оного, и это будет чётко видно, я распечатаю эту страницу и съем свой пост

Не надо Бумажки есть замечательной девушке не пристало. Лью, эксперимент нереален. Можно провести эксперимент с нулевками, к тому же месяц это очень мало. Форумы эдентичной тематики могут словить аффилиат, АГС и вообще поиметь кучу всяких неприятностей. Эксперимент вообщем анреал. А вложения в форум гораздо существенннее, чем в сайт, заметь. Плюс форум это интерактив, который время пожирает и ничего не отдает. К тому же если сайт начинает отбиваться уже месяца через 3, то форум через год - полтора, и это если ты угадал кучу всяких нюансов Не, не будем мы есть бумажки

Quote:

Originally Posted by Luvilla

только не надо приводить как доказательство количество страниц в выдаче и прочие сео-штучки. Будем сравнивать количество живых юзеров и постов.

Лью, ты заблуждаешься Монетизируют форум НЕ юзеры. Они там просто общаются по интересам, и часто общаются о всякой фигне, которая имеет ценность 0.0 десятых. Да, активные юзеры нужны, но чаще их посты это просто статистический мусор. А вот материальную ценность для форума имеют как раз гости, которые кликают на рекламу и приносят доход владельцу. А когда к тебе приходит прямой рекламодатель, ты че количество постов показываешь? Или стату счетчика открываешь, а? ;) А он еще посмотрит откуда у тебя люди, и если не из поиска, то может скажет:
- Цена необоснованно завышена
Я как то просил вместо себя присматривать за одним форумом товарища из Украины, так он посмотрел на количество моих постов, и прямо на паблик и сказал: ты че их тут развлекаешь? Десять копирайтеров решает любые проблемы

Quote:

Originally Posted by Luvilla

для ПС - может быть.
Для админа - нифига не полезности.

Поэтому раз для ПС, то и для админа. Может я несколько прогматично, но это правда жизни.

Quote:

Originally Posted by Veterblack

Монетизируют форум НЕ юзеры. Они там просто общаются по интересам, и часто общаются о всякой фигне, которая имеет ценность 0.0 десятых. Да, активные юзеры нужны, но чаще их посты это просто статистический мусор. А вот материальную ценность для форума имеют как раз гости, которые кликают на рекламу и приносят доход владельцу.

ты понимаешь....
в связи с массовым юзанием НоСкрипта, АдБлока и прочих прелестей... вопрос с кликанием рекламы - то таке...
и, разумеется, контент на форуме должен постоянно пополняться, иначе фигли его будут ходить читать

Quote:

Originally Posted by Veterblack

Десять копирайтеров решает любые проблемы

он прав
если форум держать только как площадку для рекламы, нафик такому форуму юзера?

Quote:

Originally Posted by Veterblack

А когда к тебе приходит прямой рекламодатель, ты че количество постов показываешь? Или стату счетчика открываешь, а? ;)

я тебе скажу по бааааальшому секрету: у меня нет счётчиков, почти ни на одном форуме
и даже самый дохлый форум - не убыточен, с учётом лицензии и моей принципиальной позиции не экономить на хостинге
но, увы, я никогда не ставила целью озолотиться на форуме

Quote:

Originally Posted by Veterblack

если конечно форум не хобби изможденного нарзаном айтишника

это про меня...

Ну, в общем, позицию СЕО-шников ты мне подтвердил именно ту, что я и так знала: ставим на пустой форум вбсео и ждём, когда бабло начнём грести лопатой)
а люди, юзера - они пойдут лесом... на другой форум

я утрирую, разумеется, но суть - именно такова: люди нужны только для того, чтобы тыцькать в рекламу

Quote:

Originally Posted by Veterblack

Но это ведь не повод не использовать удобную вообщем то вещь

нет, дырки - это во вторую очередь
во-первых, я терпеть не могу ссылки, вида /kakaya_to_super_puper_stranica.html
ну просто ну дух не перевариваю
кто то называет их ЧПУ, ну и что в них "человеко_понятного"?
убогая латиница? нипанимаю...
дальше
дикие тормоза, на средненьком хосте
ведь апачу приходится каждый раз перечитывать правила из .htaccess
для каждого узера
на каждой странице
дальше
рабство, в которое попадает админ, установивший у себя "это нечто"
ссылки, которые уже напостили узеры ничем не выдавить со страниц проекта, только ждать когда темки с такими ссылками, уйдут с первых страниц
и так далее...