Удаление папки /install/ - обязательно!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
Luvilla
Блондинка с электро......
 
Luvilla's Avatar
Default 2

Quote:
Originally Posted by Valentinvv View Post
Как же тогда разобраться в этой проблеме
в какой?
у Вас стояла дырявая как решето 4.1.4
то, что пару лет назад мы с вами удалили хакерский модуль и я указала на несколько хакерских же файлов, не означает, что дыра куда-то исчезла
дырявая 4.1.4 у вас была до последних дней
сколько и каких шеллов и куда там позалито - хз
Вы же обновлялись просто с перезаливкой файлов? Весь хакерский мусор никуда нЕ делся...

А теперь скажите, в какой именно проблеме Вы хотите разобраться? найти дыру в 4.1.4? - так, собственно... кому оно надо? Если у Вас уже 4.2.х
Хотите хакера поймать за руку? ну... логи в помощь, пробуйте...

Сменить все пароли
"Все" - таки означает "все", включая данные БД
грохнуть "левых" админов
закрыть форум
перенести все аттачи/аватары в БД (если они в файлах)
что там по хакам - не помню, есть ли какие-то со своими файлами... сохранить себе всё нужное - роботс там, .хтаксесс, может, отдельные папки с какими-то картинками
грохнуть всё с ФТП - "всё" таки означает всё
залить чистый дистрибутив (без папки /инсталл/, она не нужна)
не забыть сделать конфиг.пхп
залить файлы от хаков, причём желательно - из дистрибутивов
перенести аттачи/аватары в файловую систему
вернуть роботс, файлы подтверждения прав Гугла-Яшки, если они были...
собственно, это - всё

Сильно радикально? Боитесь удалить лишнее? - качайте, запускайте в параноидальном режиме и изучайте отчёт: Скрипт для поиска вредоносного ПО "AI-Bolit"

В любом случае - убедитесь, что у Вас точно нет вирусёнка на компе

===
Quote:
Originally Posted by Sven View Post
такое ощущение, что вы не хотите читать то, что вам пишут
угу...
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
eska
Специалист
 
eska's Avatar
Default 2

Если бы сейчас была неделя юбилея vbs, то я подумал бы, что тс засланный тролль.
Иначе как можно обяснить:
Цикл
{
- у меня проблема
- сделайте то-то и то-то
- нет, я этого делать не буду, но как же мне решить мою проблему?
}
Конец цикла.
 
Old  
OlgaB
Мастер
 
OlgaB's Avatar
Default 6

Грустно читать эту тему...

Quote:
Originally Posted by Luvilla View Post
нужно сменить все пароли...
Quote:
Originally Posted by Valentinvv View Post
Пока вопрос не решен я пароли не меняю
Valentinvv, если вы не хотите выполнять рекомендации, то чего вы ждёте-то? Надеетесь, что проблема исчезнет сама?
Сменить пароли - это чуть ли не самое первое, что вы должны были сделать.

Я как-то здесь писала статью "Вирус на форуме. Взломали форум".
В вашем случае была устаревшая версия движка.

Quote:
Originally Posted by Valentinvv View Post
И там уже обратиться к официальным разработчикам
И на этом же форуме был перевод статьи с официального сайта - "Чиним свой сайт после взлома"
 
Old  
Valentinvv
Простоузер
Default 0

Во первых будучи по натуре человеком настырным и имея в этом какой то опыт я решил докопаться до истины, это поможет еще и тем кто попадет в такую же ситуацию
Я внимательно почитал все рекомендации и привожу их список здесь.
1. Сменить все пароли я поменял пароль администратора -- результатов нет
2. Сменить пароль sql ftp и входа в си панель -- вероятно это решит проблему и я это обязательно сделаю.

Но вот что я обнаружил сам и как все это работает --- сам вредоносный код вписан в стиль по умолчанию для FORUMHOME, то есть я возвращаю шаблон FORUMHOME и там уже есть этот код.
Таким образом я пришел к выводу что есть какой то способ менять стили по умолчанию и туда вписывается этот код, затем командой ставится стиль по умолчанию и вредоносный код на сайте.
Quote:
Если бы сейчас была неделя юбилея vbs, то я подумал бы, что тс засланный тролль.
Иначе как можно обяснить:
Цикл
{
- у меня проблема
- сделайте то-то и то-то
- нет, я этого делать не буду, но как же мне решить мою проблему?
}
Конец цикла.
Зачем тогда я открывал тему и регистрировался на этом форуме по новой. Я ждал от экспертов ответа в виде изменить php код в каком то файле, но кроме советов по смене паролей больше ничего не увидел.
Поэтому упрекать меня в том что я не делаю рекомендаций форума нельзя. Первая рекомендация была обновить движок она сразу была выполнена.
 
Old  
Luvilla
Блондинка с электро......
 
Luvilla's Avatar
Default 2

Quote:
Originally Posted by Valentinvv View Post
сам вредоносный код вписан в стиль по умолчанию
это называется "Мастер-стиль", он же "Основной стиль", стиль ИД -1 (минус один)
странно, что Вы только сейчас об этом заговорили - мы же просили Вас посмотреть логи админки, там чётко пишется ИД стиля, который редактировался

Есть два-три способа вносить изменения в "Основной" стиль, один легальный, другие - не очень

Легальный способ:
1. включить Debug Mode ("режим отладки"), либо прописыванием строки
$config['Misc']['debug'] = true;
в файле конфиг.пхп
либо установкой этого продукта Debug Mode From AdminCP [vB 3.5.x - 3.8.x] (на 4ке тоже работает)
2. После этого становятся доступны для редактирования "Основной стиль", "Основной язык" и можно загрузить русификацию "Помощи администратору", всё - через админку.

Собственно, я рекомендую Вам сейчас воспользоваться этим продуктом (ссылка выше), чтобы можно было вправить шаблон в "Основном стиле"
прописывание строки в конфиге делает дебаг-информацию доступной всем, это лишнее

Нелегальные способы:
1. Изменение данных в шаблоне путём прямой перезаписи в таблице, в базе денных, это и есть так называемая "сиквел-инъекция"
2. ну... редкий случай... если качать дистрибутивы с какой-нить помойки, можно получить много "сюрпризов" и в стиле, и в файлах, и в русификаторе... Вряд ли это ваш случай, так как Вы обновляли движок

А вот "нелегальный способ номер 1", мне кажется, - это Ваш случай... потому что, как Вы сами говорили, количество вставок (строк) бывает разное, да и я видела то три, то пять строк, добавленных в шаблон
Что это означает?
Что у "злоумышленника" есть способ вписывать нечто непосредственно в БД, да потом ещё и вызывать команду "вернуть шаблон" для дефолтного стиля
посмотрите в логах админки - там полно записей "restore" (кстати, все - с одним ИП)

Quote:
Originally Posted by Valentinvv View Post
Я ждал от экспертов ответа в виде изменить php код в каком то файле
ох... горе мне... сейчас получите совет - rm -rf /
Вам советуют искать файл, в народе называемый "шелл", которые даёт злоумышленнику возможность вносить изменения в БД, или в шаблоны, или в файлы...
Вам советуют сменить данные БД, чтобы исключить возможность прямого доступа к базе - если кто-то просто ходит туда как к себе домой, через ПМА, например

Quote:
Originally Posted by Valentinvv View Post
Такое впечатление что этим занимается не человек а программа
очень может быть... очень! и "программа" эта - компьютерный вирус, например...
хотя, конечно, хакерские боты действительно умеют регулярно бегать на уязвимый сайт и пихать свои вставки... но для этого хозяин бота должен скормить боту ссылку, куда именно идти
у вас нет столпотворения на форуме - почитайте аксесс.лог
 
Old  
Valentinvv
Простоузер
Default 1

Quote:
Originally Posted by Luvilla View Post
это называется "Мастер-стиль", он же "Основной стиль", стиль ИД -1 (минус один)
странно, что Вы только сейчас об этом заговорили - мы же просили Вас посмотреть логи админки, там чётко пишется ИД стиля, который редактировался

Есть два-три способа вносить изменения в "Основной" стиль, один легальный, другие - не очень

Легальный способ:
1. включить Debug Mode ("режим отладки"), либо прописыванием строки
$config['Misc']['debug'] = true;
в файле конфиг.пхп
либо установкой этого продукта Debug Mode From AdminCP [vB 3.5.x - 3.8.x] (на 4ке тоже работает)
2. После этого становятся доступны для редактирования "Основной стиль", "Основной язык" и можно загрузить русификацию "Помощи администратору", всё - через админку.

Собственно, я рекомендую Вам сейчас воспользоваться этим продуктом (ссылка выше), чтобы можно было вправить шаблон в "Основном стиле"
прописывание строки в конфиге делает дебаг-информацию доступной всем, это лишнее

Нелегальные способы:
1. Изменение данных в шаблоне путём прямой перезаписи в таблице, в базе денных, это и есть так называемая "сиквел-инъекция"
2. ну... редкий случай... если качать дистрибутивы с какой-нить помойки, можно получить много "сюрпризов" и в стиле, и в файлах, и в русификаторе... Вряд ли это ваш случай, так как Вы обновляли движок

А вот "нелегальный способ номер 1", мне кажется, - это Ваш случай... потому что, как Вы сами говорили, количество вставок (строк) бывает разное, да и я видела то три, то пять строк, добавленных в шаблон
Что это означает?
Что у "злоумышленника" есть способ вписывать нечто непосредственно в БД, да потом ещё и вызывать команду "вернуть шаблон" для дефолтного стиля
посмотрите в логах админки - там полно записей "restore" (кстати, все - с одним ИП)


ох... горе мне... сейчас получите совет - rm -rf /
Вам советуют искать файл, в народе называемый "шелл", которые даёт злоумышленнику возможность вносить изменения в БД, или в шаблоны, или в файлы...
Вам советуют сменить данные БД, чтобы исключить возможность прямого доступа к базе - если кто-то просто ходит туда как к себе домой, через ПМА, например


очень может быть... очень! и "программа" эта - компьютерный вирус, например...
хотя, конечно, хакерские боты действительно умеют регулярно бегать на уязвимый сайт и пихать свои вставки... но для этого хозяин бота должен скормить боту ссылку, куда именно идти
у вас нет столпотворения на форуме - почитайте аксесс.лог
Вот именно такого ответа от настоящего эксперта я и ожидал, внимательно читая каждое слово я выполнил эти рекомендации и вроде решение найдено установкой этого продукта установкой этого продукта Debug Mode From AdminCP [vB 3.5.x - 3.8.x] (на 4ке тоже работает)

После этого уже больше суток вредоносного кода на сайте нет. Означает ли что этим самым решение найдено я пока говорить не могу, но результат есть. И за это большое человеческое спасибо Лью.
 
Old  
BTC
СпециалистЪ
 
BTC's Avatar
Default 3

Quote:
Originally Posted by Valentinvv View Post
Означает ли что этим самым решение найдено я пока говорить не могу, но результат есть.
Нет, вы просто убрали код, но возможно, даже скорее всего, ваш форум до сих пор остается дырявым.
И если далее злоумышленники сделают правку не через основной шаблон, а через правку кода, модуля и т.д. то этот совет вам уже ничем не поможет. Нужно избавляться не от следствия, а от причины.
 
Old  
Valentinvv
Простоузер
Default 0

Quote:
Originally Posted by BTC View Post
Нет, вы просто убрали код, но возможно, даже скорее всего, ваш форум до сих пор остается дырявым.
И если далее злоумышленники сделают правку не через основной шаблон, а через правку кода, модуля и т.д. то этот совет вам уже ничем не поможет. Нужно избавляться не от следствия, а от причины.
Все таки то решение о котором я писал и было выходом из положения, прошел почти год и все на месте, попытки взлома конечно были и не один раз, но в итоге сейчас все нормально работает и нет никаких чужих iframe вставок.

Только яндекс теперь все время банит форум периодически загоняю его в АГС (минусинск) и я начинаю подозревать что причина этому старые посты может ботов, а может и реальных людей, но по времени уже устаревшие (форум работает с 2009года).

Буду очень признателен если кто подскажет как решить эту проблему и убрать не подтвержденные исходящие ссылки и мусор с форума.
 
 

Tags
forumhome, взлом шаблона

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 01:54 PM.


Powered by vBulletin® Version Nulled Edition
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.