VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Всем привет.
Началось пару недель назад. У юзеров стали появляться ошибки с куками при работе форума. Оказалось, что в конец всех файлов был дописан код
Поборол восстановлением бэкапа. Это повторялось несколько раз. Сначала думал, что увели пароли фтп, но и после смены пароля это повторилось (пароль нигде не хранится). Комп на вирусы проверен. Посмотрев в логи фтп, никого кроме себя не обнаружил. Следов того, что меняли все файлы, нет.
Это еще полбеды. На днях начал тормозить форум, периодически он просто лежал. Обратился к хостеру за разъянениями. Оказалось, что мой аккаунт (по словам хостера) запускает ботов и вредоносное ПО Tembilahan-bot psyBNC 2.3.2. Это ПО обычно загружается через скрипты и дыры в них. ФТП для этого не используют, что и по логам видно. Хостер (http://www.eserver.ru) клянется и божится, что это дыры в моих скриптах, т.е. в вобле. На аккаунте есть еще два мелких сайта, но они на чистом html.
Отсюда вопрос: как это лечить и как этому противодействовать?
Установленные хаки:
ipInfo 1.0 (ipInfo is a replacement standard view users ip)
New posts and reputation comments 3.18 (Показывает количество новых сообщений с вашего последнего визита, и количество новых комментарий репутации если имеются. перевод kontra)
Автоматическая отправка личного сообщения при моде 3.6.2 (Автоматическая отправка личного сообщения пользователям, если их тема была отредактирована. Перевод и доработка - AnTekapb)
Отображение ботов 1.4 (Отображение поисковых ботов в списке пользователей онлайн. Перевод выполнил Ateist)
Система предупреждений 3.6.x 3.6.8 (Система предупреждений с расширенными возможностями. Автор — Damned Tiny)
Смайлы в форме быстрого ответа 1.0.0 (Добавляет выпадающее меню со смайлами в форму быстрого ответа)
Хак Благодарностей для 3.6.8 6.3 (Перевод осуществил "FintMax")
[NuHIT] - NuSEO.PHP 1.6 (NuHIT's NuSEO.PHP)
Добавлено через 7 минут
По ошибке запостил в раздел другой версии. Переместите плз.
Last edited by mikael : 01-14-2008 at 09:18 PM.
Reason: Добавлено сообщение
mikael, Это не связано с булкой. У кого-то, кто имеет доступ к ftp трояном увели пароль
@AntiPiton
Эксперт
Join Date: Oct 2007
Location: 4pna.com
Posts: 1,257
Версия vB: 3.8.5
Reputation:
Professional 855
Репутация в разделе: 192
0
mikael, посмотри свой фтп на наличие шеллов...
@Мик
Эксперт
Join Date: Mar 2006
Location: Улыбаемся и машем, машем и улыбаемся... :)ь
Награды в конкурсах:
Posts: 2,939
Версия vB: 1.x.x
Reputation:
Professional 849
Репутация в разделе: 503
0
Quote:
Originally Posted by mikael
http://www.eserver.ru
хостился у них полтора года
лентяи каких свет не видовал
одни отмазки, это не мы, это ваши баги и т.д.
@mikael
На доске почёта
Join Date: Apr 2006
Posts: 33
Версия vB: 3.6.8
Reputation:
Novice 2
Репутация в разделе: 1
0
Quote:
Originally Posted by zCarot
mikael, Это не связано с булкой. У кого-то, кто имеет доступ к ftp трояном увели пароль
Кроме меня, ни у кого доступа нет.
Добавлено через 57 секунд
Quote:
Originally Posted by AntiPiton
mikael, посмотри свой фтп на наличие шеллов...
Рад бы, да не знаю как
К тому же это виртуальный хостинг, так что мои права там крайне ограничены. Сейчас переезжаю на VDS (ruweb.net). Вот и думаю, а не притащу ли я эту заразу туда.
Добавлено через 3 минуты
Quote:
Originally Posted by Мик
хостился у них полтора года
лентяи каких свет не видовал
одни отмазки, это не мы, это ваши баги и т.д.
Согласен, лентяи еще те. Это не считая других геморов.
Last edited by mikael : 01-14-2008 at 11:31 PM.
Reason: Добавлено сообщение
Sellrion
Kernel panic
Join Date: Aug 2007
Location: Екатеринбург
Posts: 2,536
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 1920
Репутация в разделе: 793
1
mikael, ну давайте вместе попробуем пошевелить мозгом. Я думаю Вы согласны с тем, что ничего просто так не бывает, как и чудес тоже не может быть (ну, по крайней мере, на сервере). Вы говорите, что только у Вас есть доступ к ftp. Тогда есть три варианта:
1. Вирус на сервере.
2. Кто-то воспользовался вашим ftp-доступом.
3. Вы залили на сервер изначально криптованный дистрибутив воблы.
Все! В Вашей ситуации других разумных причин не придумать. Исходя из этого имеем по пунктам:
1. Маловероятно, но все же возможно. Стучите к хостеру.
2. Надо знать что такое ftp-защита и пользоваться ей. Так же, не сохранять пароли в формах браузера и переодически их менять. Ну и конечно не юзать простые пароли.
3. Надо думать откуда качаете дистрибутив Воблы.
Как видите, почти во всех случаях виноваты Вы и только Вы. И как теперь избавляться от этого решать только Вам, исходя из ситуации...
@mikael
На доске почёта
Join Date: Apr 2006
Posts: 33
Версия vB: 3.6.8
Reputation:
Novice 2
Репутация в разделе: 1
0
Quote:
Originally Posted by Sellrion
1. Вирус на сервере.
2. Кто-то воспользовался вашим ftp-доступом.
3. Вы залили на сервер изначально криптованный дистрибутив воблы.
Все! В Вашей ситуации других разумных причин не придумать. Исходя из этого имеем по пунктам:
1. Маловероятно, но все же возможно. Стучите к хостеру.
2. Надо знать что такое ftp-защита и пользоваться ей. Так же, не сохранять пароли в формах браузера и переодически их менять. Ну и конечно не юзать простые пароли.
3. Надо думать откуда качаете дистрибутив Воблы.
1. Стучал. Хостер в грудь бьется, что это дырявые скрипты. Скриптов, кроме воблы на аккаунте нет.
2. Пароли и так длиннее некуда. В формах сохранял раньше, но потом передумал
3. Все дистрибутивы отсюда.
Sellrion
Kernel panic
Join Date: Aug 2007
Location: Екатеринбург
Posts: 2,536
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 1920
Репутация в разделе: 793
0
mikael, шевелите же мозгом! Вот это:
Quote:
Originally Posted by Sellrion
Я думаю Вы согласны с тем, что ничего просто так не бывает, как и чудес тоже не может быть (ну, по крайней мере, на сервере). Вы говорите, что только у Вас есть доступ к ftp.
говорит о том что одно из этих утвержений:
Quote:
Originally Posted by mikael
1. Стучал. Хостер в грудь бьется, что это дырявые скрипты. Скриптов, кроме воблы на аккаунте нет.
2. Пароли и так длиннее некуда. В формах сохранял раньше, но потом передумал
3. Все дистрибутивы отсюда.
не соответсвует действительности вопреки Вашим убеждениям. Хотите Вы того или нет. К сожалению мы не можем Вам помочь, ибо экстрасенсов тут нет...
@КотЪ
Администратор
Неадекватный
Join Date: Aug 2005
Posts: 5,262
Версия vB: 3.8.x
Reputation:
Гуру 3905
Репутация в разделе: 2414
0
Quote:
Кроме меня, ни у кого доступа нет.
Троян. Троян на компе. Который исправно передает кому надо все ваши изменения пароля к фтп.
Спорим, пароль сохранен в тотал коммандере? Или чем вы там пользуетесь )
+ к этому - ищем шелл.
Умный "хакер" в первую очередь, заливает шелл в укромное местечко.
И только потом вешает ифрейм.
Взлом vBulletin 3.6.8 Patch Level 1
