VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. При поиске источника заражения воспользуйтесь рекомендациями, описанными на странице нашей Помощи.... бла-бла...
[и ссылки на какие-то слегка подходящие темы на серчё и ещё парочка]
Узнали?
не-не, это я не нашу с вами переписку цитировала
это Платоны сейчас так отвечают
ОК, чуток подробнее
некоторое время назад ко мне обратились с такой проблемой. Яшка видит "вредоносный код", больше никто его не видит
я давно знаю тот форум, да и человек, который обратился, очень хороший... в общем, я там прошерстила всё
базу вывернула наизнанку, строку плагинлист из датасторе рассматривала под микроскопом
отчёт ай-болита проштудировала чуть не напамять
файлы, которые не нравились штатной диагностике, повытаскивала к себе и посравнивала с файлами из дистрибутива
все не-вобловские папки излазила вдоль и поперёк
я ни-че-го-нЕ-вижу!
кроме того, что мне раскопки в той базе приснились среди ночи, я ничего не добилась
А Яшка упорно пишет - есть код, ищите...
и ссылки, который как примеры в панели вебмастера даются, они именно "хаотичные"
предполагаю, что вот эта тема http://vbsupport.ru/forum/showthread.php?t=51068 - случай совершенно аналогичный (пост #12, ответ платонов), но в случае с 4кой утверждать на все 100% не рискну
Но у меня сейчас на руках две троечки
причём одна - вообще лапочка, там даже вБСЕО нет
Что это за урл? /misc.php?v=387
что это за бредЪ?
откуда он вообще берётся, есть идеи у кого? (вопрос абсолютно риторический)
Конкретное предложение, конструктив:
предлагаю начать конкретно пинать Платонов.
Раз уж вы берёте на себя ответственность вешать в выдаче предупреждения о "вредоносном сайте", будьте любезны предоставить веб-мастеру более полную информацию
На какой конкретно странице ваш бот нарвался на вредоносный скрипт?
Что это за скрипт?
Каким юзер-агентом представлялся бот?
Гугл по молодости тоже имел манеру писать: нами просканировано 30 станиц вашего сайта и на пяти из них обнаружен вредоносный код"
но Гуглоботов допинали... вопросами типо "Слыш, ты, умник, у меня 50к страниц, я должен угадывать, какие 30 ты проверил? Можешь, выдашь список этих пяти конкретных страниц, и не будем морочить друг другу голову?"
как-то так...
Прошу простить великодушно, у меня не так много времени, чтобы длинно расписывать, но, надеюсь, смысл понятен: не нужно молча глотать отписки платонов. Взялись сканировать и "обеспечивать безопасность" - вот пусть и обеспечивают.
Если каждый, кто сталкивается с этой проблемой, будет добиваться ответов, рано или поздно ответы будут
А мне кажется, что известные мне случаи - только первые ласточки, что-то там у Яшки в очередной раз сменили в алгоритмах, и теперь его колбасит...
Может, кто грамотный и не ленивый, набросает тут текст, который можно будет отсылать при подобных проблемах?
И ещё момент: несколько раз наблюдаю, типо, "сегодняшний" ответ, что на сайте есть вредоносный код, а дата последней обработки страницы роботом стоит двух-трёх недельной давности
это как вообще понимать?
алерт мы вешаем в режиме реального времени, а смотрим страницы из собственного кеша?
P.S: это ни в коем разе не наезд, если что... я Платонов уважаю, труд проделывается титанический. Но хочется, чтобы всё было ещё лучше...
хз... может, и оно
на двух известных мне тройках с этой проблемой меня никуда не редиректит, ни из каких поисков и никаким юзер-агентом, я довольно долго извращалась, чтобы увидеть это вживую - спровоцировать ситуацию не удалось
Если бы у меня на обоих форумах было вБСЕО - тогда разговор был бы несколько другой...
Luvilla
Гость
Posts: n/a
так...
мне тут добрый человек выдал все доступы при наличии этого самого подтверждённого редиректа на myfilestore
админка - продукты и модули - пересохраните любой модуль
datastore перезапишется, вредоносный код исчезнет
гораздо интереснее, каким образом сей код впихивается в базу
собственно, система-то понятна: любой уязвимый хак, позволяющий пихнуть инъекцию, и... имеем то, что имеем
Стандартные рекомендации:
откладывайте все дела, садитесь заниматься форумом 1. Начните со списка установленных продуктов
проверьте каждый продукт: он точно вам нужен? может, ну его? "Меньше хаков - крепче сон!"
нужен? - ок, отправляйтесь в тему с хаком, не важно, тут, на орге - читайте тему! Убедитесь, что у вас установлена самая свежая версия, посмотрите, не было ли сообщений об уязвимости в этом продукте
нЕ держите выключенных продуктов, особенно если есть сомнения... не используете? - удаляйте!
2. Админка - диагностика - "версии устаревших файлов" (или как-то так) - вперёд
убедитесь, что у вас в штатных директориях не валяется неиспользуемых "левых" файлов
в обязательном порядке поудаляйте файлы от хаков, которые были удалены
3. Отправляйтесь в файловую систему и пересмотрите нЕ-вобловские директории, там тоже может быть много интересного
В обязательном порядке смените пароли всем, кто имеет доступ в админку. Хакер имел доступ к вашей базе, не надейтесь, что он только скромно пихнул модуль с редиректом... он выжал их вашей БД всё, что смог
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,862
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20340
Репутация в разделе: 248
0
опять дырявая вбсео?
она ж помэрла, не?
почему ее до сих пор пользуют?
кактусы вкусные? грабли паролоновые?
нипанимаю...
Luvilla
Гость
Posts: n/a
Quote:
Originally Posted by kerk
она ж помэрла, не?
та вроде ж ожила... "эту песню не задушишь, не убьёшь"
я не уверена, что инъекцию могут запихать исключительно только через дырявую вбСЕО
у моего сегодняшнего "пациента" вбсео как раз нет
зато есть куча хаков, куча файлов от старых хаков и сипекс_дампер в открытом виде
Luvilla
Гость
Posts: n/a
Искала сегодня ужгородский форум (хочу поехать на сакура-фест), ну, хотелось именно форум, чтобы пообщаться, и чтобы вобла...
всё какая-то муть у Гоши в выдаче... какие-то то мего-порталы, умершие года три назад... то ИПБ, то и вовсе ЕХбб... вдруг смотрю - в ссылке /forumdisplay.php?f=
Не могу передать, как я обрадовалась! Вот оно, мне-понятное-ЧПУ!!! сорри, не удержалась, простите, ЧПУшники, но в этом конкретном случае камушек в ваш огород просто нельзя было не запустить...
Это была присказка. Кликаю по ссылке, и.... угадайте, что?
ну, молодцы, кто угадал - возьмите с полки пирожок
меня лихо редиректнуло на myfilestore.com
4.2.3, вбСЕО нет
отписала в обратную связь, потом подумала, что - хз, ходит ли там вообще почта с форума, зарегистрировалась, отписала админу в ЛС
так... к чему это я? Админы, не теряем бдительность!
Если вам облом периодически читать, что там у вас валяется в БД, то похаживайте иногда на собственный форум из поисковиков, это простой и доступный способ проверки.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 166
0
Luvilla, расскажу эпический случай с этим яндексом. Блочат форум forum.domain.com как вредоносный. Лезу смотреть - да все чисто.
Пишу им, получаю феноменальный ответ
Quote:
Здравствуйте, ***!
Мы подозреваем, что Ваш сайт подвергся взлому. Воспользуйтесь, пожалуйста, рекомендациями, описанными на страницах нашей Помощи:
Пример опасной страницы приводим: http://blabla.domain.com/wp-includes/**** Если Вы не являетесь лицом, ответственным за безопасность сайта domain.com , пожалуйста, передайте эту информацию соответствующим сотрудникам Вашего сайта.
Но только blabla.domain.com (там wp, ломанули, все дела) находится на другом ip в другом датацентре у другого админа. А мой forum.domain.com на самом деле чист ака слеза младенца. Сам domain.com не заблокирован, домен ua, с ТМ и так далее.
Писали бы на абузы в whois или блокировали только зараженные поддомены (по факту просто домены третьего порядка). Нет же, влезли блочить то, что блочить не следовало.
От всей души им посоветовал им заблокировать *.narod, *.ucoz и т.д.