htmlbook.ru - настольная книга администратора

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
Liked
Специалист
 
Liked's Avatar
Default 0

Поднимаю тему. В логах:



где admin.php и admin-panel.php, я думаю это сканер админки. Есть способы закрыть файлы от сканеров?


Особо удивился на этим кодом:
Code:
File does not exist: /var/путь к форуму/index.php+++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+\xf2\xe5\xea\xf1\xf2\xee\xe2\xe0\xff+\xea\xe0\xef\xf7\xe0+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"ZimnAdminly";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xef\xf0\xee\xf4\xe8\xeb\xfc+\xee\xf2\xf0\xe5\xe4\xe0\xea\xf2\xe8\xf0\xee\xe2\xe0\xed;+\xe2\xee\xf8\xeb\xe8;+\xed\xe5+\xed\xe0\xf8\xeb\xee\xf1\xfc+\xf4\xee\xf0\xec\xfb+\xe4\xeb\xff+\xee\xf2\xef\xf0\xe0\xe2\xea\xe8;+\xe2\xee\xe7\xec\xee\xe6\xed\xee,+\xe4\xeb\xff+\xf1\xee\xe7\xe4\xe0\xed\xe8\xff+\xf2\xee\xef\xe8\xea\xe0+\xe8, referer: http://www.good-onlineshoppingelectronics.com/how-to-use-a-tablet-%D1%80%D1%81-for-work.html
[Fri Sep 27 12:05:31 2013] [error] [client 46.118.124.188] File does not exist: /var/путь к форуму/index.php+++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+\xf2\xe5\xea\xf1\xf2\xee\xe2\xe0\xff+\xea\xe0\xef\xf7\xe0+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"ZimnAdminly";+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc;+\xef\xf0\xee\xf4\xe8\xeb\xfc+\xee\xf2\xf0\xe5\xe4\xe0\xea\xf2\xe8\xf0\xee\xe2\xe0\xed;+\xe2\xee\xf8\xeb\xe8;+\xed\xe5+\xed\xe0\xf8\xeb\xee\xf1\xfc+\xf4\xee\xf0\xec\xfb+\xe4\xeb\xff+\xee\xf2\xef\xf0\xe0\xe2\xea\xe8;+\xe2\xee\xe7\xec\xee\xe6\xed\xee,+\xe4\xeb\xff+\xf1\xee\xe7\xe4\xe0\xed\xe8\xff+\xf2\xee\xef\xe8\xea\xe0+\xe8, referer: http://domainindex.php+++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%F2%E5%EA%F1%F2%EE%E2%E0%FF+%EA%E0%EF%F7%E0+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22ZimnAdminly%22;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC;+%EF%F0%EE%F4%E8%EB%FC+%EE%F2%F0%E5%E4%E0%EA%F2%E8%F0%EE%E2%E0%ED;+%E2%EE%F8%EB%E8;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;+%E2%EE%E7%EC%EE%E6%ED%EE,+%E4%EB%FF+%F1%EE%E7%E4%E0%ED%E8%FF+%F2%EE%EF%E8%EA%E0+%E8/%E8%EB%E8+%ED%E0+%EE%F2%E2%E5%F2+%ED%E5%E4%EE%F1%F2%E0%F2%EE%F7%ED%EE+%EF%F0%E0%E2;+%E0%EA%EA%E0%F3%ED%F2+%E4%EE%EB%E6%E5%ED+%E1%FB%F2%FC+%E0%EA%F2%E8%E2%E8%F0%EE%E2%E0%ED+%E0%E4%EC%E8%ED%E8%F1%F2%F0%E0%F2%EE%F0%EE%EC;
[Fri Sep 27 12:05:31 2013] [error] [client 46.118.124.188] File does not exist: /var/путь к форуму/\xe8\xeb\xe8+\xed\xe0+\xee\xf2\xe2\xe5\xf2+\xed\xe5\xe4\xee\xf1\xf2\xe0\xf2\xee\xf7\xed\xee+\xef\xf0\xe0\xe2;+\xe0\xea\xea\xe0\xf3\xed\xf2+\xe4\xee\xeb\xe6\xe5\xed+\xe1\xfb\xf2\xfc+\xe0\xea\xf2\xe8\xe2\xe8\xf0\xee\xe2\xe0\xed+\xe0\xe4\xec\xe8\xed\xe8\xf1\xf2\xf0\xe0\xf2\xee\xf0\xee\xec;, referer: http://domain/%E8%EB%E8+%ED%E0+%EE%F2%E2%E5%F2+%ED%E5%E4%EE%F1%F2%E0%F2%EE%F7%ED%EE+%EF%F0%E0%E2;+%E0%EA%EA%E0%F3%ED%F2+%E4%EE%EB%E6%E5%ED+%E1%FB%F2%FC+%E0%EA%F2%E8%E2%E8%F0%EE%E2%E0%ED+%E0%E4%EC%E8%ED%E8%F1%F2%F0%E0%F2%EE%F0%EE%EC;
[Fri Sep 27 12:17:26 2013] [error] [client 83.229.242.138] File does not exist: /var/путь к форуму/images/misc/blog/gradient-black-down.png, referer: http://domain/css.php?styleid=36&langid=5&d=1380119945&td=ltr&sheet=widgets.css,vbcms.css,postbit-lite.css,postlist.css,lightbox.css,overlay.css,tagcloud.css,

Что это вообще? У кого какие предположения?
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
cyberdaemon
Эксперт
 
cyberdaemon's Avatar
Default 1

Quote:
Originally Posted by Liked View Post
Что это вообще? У кого какие предположения?
Гы, эт так, будни среднестатистического сервера, у меня к примеру PMA под разными соусами на сервере ищут, уж как его бедного только не обзывают.
 
Old  
Edel
Простоузер
Default 0

Доброго времени суток...

Нужна помощь на 4.19
___
Предыстория:
Звонит мой админ и говорит, что на форуме появился новый админ.
Ник админа: kracker
Мой не долго думая его забанил.
__
Теперь начинаю разбираться:
Прогоняю по поискам и вижу, что наш форум не один такой. В период с 23.09 по сей момент идет огромное кол-во ВБшек с пользователем kracker и статусом админ
Основной контингент - это версии от 4.12 - 4.21
__
Начинаю копаться у нас в админке...
По логам панели странная картина:
Code:
8918	Миридин	23:55, 25.09.2013	usergroup.php	modify	 	128.69.218.61
8917	Мир	23:55, 25.09.2013	usergroup.php	update	 	128.69.218.61
8916	Мир	23:55, 25.09.2013	usergroup.php	add	 	128.69.218.61
8915	Мир	23:54, 25.09.2013	usergroup.php	modify	 	128.69.218.61
8914	kracker	14:29, 25.09.2013	plugin.php	 	 	77.48.244.98
8913	kracker	14:29, 25.09.2013	plugin.php	doimport	 	77.48.244.98
8912	kracker	14:29, 25.09.2013	plugin.php	files	 	77.48.244.98
8911	Мир	11:45, 24.09.2013	user.php	modify	user id = 418	77.50.150.19
8910	Мир	11:45, 24.09.2013	user.php	update	user id = 418	77.50.150.19
8909	Мир	11:45, 24.09.2013	user.php	edit	user id = 418	77.50.150.19
8908	Мир	11:45, 24.09.2013	user.php	edit	user id = 417	77.50.150.19
Как понимаю, взлом был через акк моего админа (Мир)

Вопрос такой, куда смотреть и что искать?
Папки «инсталл» нет с самого начала.
Есть подозрительные логи с хоста, если надо - выложу
Доп файлов никаких в каталогах не заметил, на вредоносный код проверил -вроде чисто.
Поставил доп пароль на папку админцп.

Базу изменений файлов проверил. Измененных много, но честно не помню - что менял я или админ. А дат там нет

Подскажите что и куда капать
 
Old  
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default 0

Оу, 5 баллов
еще один

Тс, сорри, ничего личного

Читать тут
 
Old  
Dyuhaha
Эксперт
 
Dyuhaha's Avatar
Default 0

Оффтоп
 
Old  
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default 0

@Dyuhaha, мне нравится стабильность чувака
судя по:
Quote:
Originally Posted by Edel View Post
Прогоняю по поискам и вижу, что наш форум не один такой. В период с 23.09 по сей момент идет огромное кол-во ВБшек с пользователем kracker и статусом админ
Основной контингент - это версии от 4.12 - 4.21
Ждем волну "меня сломали"

ikopylov добавил 01.10.2013 в 02:23
@Edel, а ссылочку на сайт можно?

Last edited by ikopylov : 10-01-2013 at 03:23 AM. Reason: Добавлено сообщение
 
Old  
Edel
Простоузер
Default 0

Большие и умные, рад что вас порадовал. Но можно узнать, откуда ноги растут и как это дело обезопасить?
@ikopylov, ссылку посмотрел. У нас к счастью скачать ничего не предлагают. Моб версию и изменение шапки иду проверять
 
Old  
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default 0

@Edel, вы до конца дочитали?
шелл у вас залит, 100%

Как сломали- надо разбираться
последние посты той темы как раз для вас, отпишитесь, потом по результатам, мы тут коллекцию собираем
но похоже нового ничего не будет, какер как-то очень уж стабилен

Quote:
Originally Posted by Edel View Post
У нас к счастью скачать ничего не предлагают
да ну да, точно? а на мобильник?
 
Old  
Edel
Простоузер
Default 0

@ikopylov,
можно конечно
http://avanturin.org/

Edel добавил 01.10.2013 в 02:40
@ikopylov, Отдельного мобильного скина нет.
Захожу с андройда, всё чисто. Закачек редиректов нет, дрВеб молчит.

Проверяю код в хеадере - ничего нового

Last edited by Edel : 10-01-2013 at 03:40 AM. Reason: Добавлено сообщение
 
Old  
ikopylov
Гуру
vBSNews
 
ikopylov's Avatar
Default 0

@Edel, htaccess смотрите, до самого конца, судя по логам что-то залито
чувак заливает шелл в админку, иногда (2 раза было) супекс для базы
может перестроится, смотрите дату его появления,
шелл залит на следующий день после его авторизации админом (2 раза заметил)
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 02:16 PM.


Powered by vBulletin® Version x.X.x
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.