Здравствуйте.

Данные: форум VBulletin 4.2.1 - плагино не мало установлено. Сайт даже ещё небыл запущен - он в разработке.

Незнаю, что и делать - пришло только что письмо от хостера о том , что мой сайт они временно заблокировали:

Вынуждены заблокировать доступ к сайту ........, так как в нем размещается постоянно фишинговый контент. После удаления контента - он появляется снова, по этому сайт заблокировали чтобы Вы обратились к программисту и разобрались где есть уязвимости.

Копия жалобы на Сайт:
===========================

Hello,

We have just identified a phishing website under your administration.

As a result, we ask you to proceed with its takedown as soon as possible.


The phishing website is located at the following domain: ……..

and at the following URL: адрес форумаа/images/help/poste/

This URL leads to a fraudulent page containing a counterfeiting site of BANQUE POSTALE. So far, we have detected several phishing mail scams referring to this URL.

The site responds to the following IP address(es): 5.9.23.25


We have verified that none of these IP addresses belong to BANQUE POSTALE (https://www.labanquepostale.fr/index.html
).

Please consider reporting any data in your possession which may be related to the reported incident (such as connection logs, suspicious accounts in relation to this fraud...)

Thank you to confirm the reception of our request by responding to this email.

Thanks for your cooperation.


CERT-LEXSI - Cybercrime department
http://cert.lexsi.com
cert-soc@lexsi.com


CERT-LEXSI is a CSIRT team recognized by Enisa that conducts cybercrime monitoring and investigation and works with other CSIRTs and law enforcement agencies.
Our mission is to correlate information on phishers and cybercrime gangs to assist legal procedures and lead to arrests.
You may be in possession of critical information for investigations:
- server files you can send us (we research to find out identities and fraud evidence;
- IP addresses used for server administration;
- information related to billing (rejected credit card, card owner name, full or partial cc number).

===========================

Написал хостеру - его ответ:

посмотрите по FTP файлы в папке images/help/poste/Как они туда попадают ? где-то есть уязвимость в сайте ...

Помогите разобраться - в чём может быть проблема...

Выложи список хаков, глянь логи.

У меня сайт закрыли - я не могу посмотреть ничего.

Это наверное отголоски вот этого всего: http://habrahabr.ru/post/202468/

Jacking добавил 22.11.2013 в 13:41
удалил фишинговую папку poste в директории /images/help/ и затем удалил полностью папку install. Хостер написал, что папки они вчера удаляли а они вновь сегодня появились - где то уязвимость - думаю не в хаке а в самом vbulletin, так-как форум простоял в закрытом состоянии около 8 месяцев и только вчера он был взломан.

Если была папка инсталл - должен появиться новый админ
100% есть шелл

Закройте сайт htaccess
пусть хостер его откроет
А если только установлен, просто снесите и переустановите заново
предварительно закрыв доступ

Ну и на всякий случай поищите у себя на компе трояны

Quote:

Originally Posted by Jacking

думаю не в хаке а в самом vbulletin

Да, да! Во всем виноват сам Vbulletin, какие хаки оч ем вы, какая нафиг папка инстал, виноват только vbulletin!