Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBSupport.ru > Безопасность

[4.2.x] Появилась надпись "abcabcabc". Может быть результатом взлома?

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
thiphereth
Продвинутый
 
thiphereth's Avatar
Default Появилась надпись "abcabcabc". Может быть результатом взлома?
0
Всем добрый день! Сегодня на главной странице сайта обнаружил странную надпись "abcabcabc". Установлена версия 4.2.3 Patch Level 2. Захожу на сайт обычно каждые 2-3 дня. Раньше такой надписи не видел. Подозрение на взлом.

Уже давно не занимался сайтом. Подзабыл что да как. Сменил админские пароли и почту. Зашел в панель управления в поиск по шаблонам, ничего не нашел, откуда берется эта надпись. В записях действий в панели управления тоже не увидел ничего подозрительного.

Не могу понять, откуда эта надпись в вернем левом углу сайта. Вот скрин.


Покопался в архивах, где я записывал, какие изменения я когда-то вносил, ничего не нашел. Не подскажите, в каком шаблоне может быть переменная, способная вставлять эту надпись вверху сайта? Это может быть результат взлома?

В последний раз бэкап делал в 2016 году. В принципе, я могу стереть сайт и восстановить из бекапа. Все равно за это время почти ничего не происходило на сайте. Просто хочу понять на будущее, откуда взялась надпись и какие действия мне лучше всего предпринять?
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
0
Вероятнее всего, что код в модуле. Попробуйте отключить систему модулей/продуктов, затем обновить страницу и проверить исчезла ли данная строка.
 
 
madbadjack
Эксперт
 
madbadjack's Avatar
Default
0
Quote:
Originally Posted by OldEr View Post
Вероятнее всего, что код в модуле
Может быть, тем паче, что всё устаревшее. А может всё-таки сперва header проверить?
 
 
thiphereth
Продвинутый
 
thiphereth's Avatar
Default
0
Quote:
Originally Posted by OldEr View Post
Попробуйте отключить систему модулей/продуктов, затем обновить страницу...
Попробовал, не помогло. У меня только два дополнительных модуля - DragonByte Tech: Advanced Post Thanks / Like (Lite) и VSQ - Spoiler. Отключил, обновил страницу - как было, так и осталось.

thiphereth добавил 05.02.2018 в 19:32
Quote:
Originally Posted by madbadjack View Post
А может всё-таки сперва header проверить?
Зашел в шаблон header, там написано, что в этом шаблоне изменения никогда не производились. В любом случае, в шаблоне нет надписи "abcabcabc". Если эта надпись из шаблона, то она может вставляться только какой-то фразой (переменной). Но поиск по фразам ничего не дал. Я вот думаю, может это какие-то изменения в версии PHP на хостинге. Ничего другого кроме этого и возможного взлома пока в голову не приходит. Подскажите, что еще можно сделать?
Last edited by thiphereth : 02-05-2018 at 08:32 PM. Reason: Добавлено сообщение
 
 
hoo
Гуру
 
hoo's Avatar
Default
0
на фтп content.php смотрите в самом верху
 
 
kerk
k0t
 
kerk's Avatar
Default
0
эта хрень в теле страницы еще до заголовка доктайп



так что вряд ли это в шаблонах
возможно, где то в модулях или прямо в файлах выполняется некий код, который принтит эту хрень на страницу
 
 
thiphereth
Продвинутый
 
thiphereth's Avatar
Default
0
Quote:
Originally Posted by hoo View Post
на фтп content.php смотрите в самом верху
Скачал из корневой директории сайта файл content.php. Надписи "abcabcabc" в нем нет. В Интернете нашел пост одного человек с такой же проблемой, но у него не vBulletin, а WordPress. Он написал, что типа нашел и исправил ошибку. У него в файле error_log на хостинге была надпись:
Code:
PHP Warning:  Cannot modify header information - headers already sent by (output started at /home/cinegcom/public_html/wp-content/themes/soledad/inc/meta-box/categories-meta-box.php:2) in /home/cinegcom/public_html/wp-includes/IXR/class-IXR-server.php on line 149
Но у меня никаких подобных надписей нет в файле error_log. Хотя надпись "abcabcabc" на его сайте была в точности такой, как у меня. Не знаю даже, как повлиять на эту надпись... Может нужно какие-то права поменять на директориях хостинга? На русском языке в поиске не нашел подобных случаев.

thiphereth добавил 05.02.2018 в 21:45
Quote:
Originally Posted by kerk View Post
эта хрень в теле страницы еще до заголовка доктайп
так что вряд ли это в шаблонах
Мне тоже кажется, что не в шаблонах. Начал шерстить все файлы на хостинге. Обнаружил хакерский файл t.php, появившийся 28 декабря прошлого года. В заголовке файла написано "Pwned by Monkey B Luffy". А в конце файла "красуются" ники хакеров:
Code:
E ARE : <marquee width="500">Ccocot - ./Mr.greetz69 - Kazuya404 - ./N4sKun - Jilan404 - Effect - B0c4H_Id30t - Ashura - Fuss - Sector.V2</marquee>
Нашел инфо в Инете, что мой хостер был взломан и хакеры добавили файлы t.php и t.html. Первый я только что обнаружил и удалил. Второй пока не могу найти, может хостер удалил. На данный момент удаление t.php не помогло. Кто знает, что еще хакеры накидали. Буду сравнивать все файлы на хостинге с файлами у меня в бэкапе. Может еще чего раскопаю... Хостер, конечно же, решил не уведомлять пользователе о взломе... Наверняка это уязвимость на хостинге. Пароли у меня везде сложные.
Last edited by thiphereth : 02-05-2018 at 10:45 PM. Reason: Добавлено сообщение
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
0
Quote:
Originally Posted by madbadjack View Post
А может всё-таки сперва header проверить?
ТС написал, что шаблоны уже проверил.

@thiphereth, напишите в ЛС - посмотрим.
 
 
Konkere
Знаток
 
Konkere's Avatar
Default
1
Quote:
Originally Posted by thiphereth View Post
Кто знает, что еще хакеры накидали. Буду сравнивать все файлы на хостинге с файлами у меня в бэкапе.
Попробуйте: Адмипанель/Обслуживание/Диагностика/Подозрительные версии файлов.
 
 
thiphereth
Продвинутый
 
thiphereth's Avatar
Default
0
Quote:
Originally Posted by OldEr View Post
напишите в ЛС - посмотрим.
Спасибо, покопаюсь еще в файлах, пообщаюсь с хостером. А потом, если что, напишу.

thiphereth добавил 05.02.2018 в 23:04
Quote:
Originally Posted by Konkere View Post
Попробуйте: Адмипанель/Обслуживание/Диагностика/Подозрительные версии файлов.
Спасибо! Обязательно воспользуюсь. У меня на хостинге несколько сайтов. Там не везде есть такая функция. Поэтому я кроме этого еще сейчас качаю себе на комп все, что на хостинге. А потом буду сравнивать в программе Beyond Compare.

thiphereth добавил 06.02.2018 в 05:52
Вообщем прошерстил я все, зараженных и накиданных файлов несколько десятков, это что я нашел. Сначала подумал, что удалю накиданные файлы и изменю переписанные. Но потом подумал, что может пропущу что-то а потом опять проблемы будут. Решил все снести и восстановить из бэкапов, так будет надежней. Но сначала с хостером поговорю. А то я переустановлю, а если на хостинге уязвимость, то все будет по новой. Либо вообще хостера придется менять, а не хотелось бы. За много лет первый раз хостинг хакнули. Всем спасибо за поддержку!
Last edited by thiphereth : 02-06-2018 at 06:52 AM. Reason: Добавлено сообщение
 
Page 1 of 2 1 2

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 07:59 PM.

Contact Us - vBSupport.ru - Privacy Policy - Top

Powered by vBulletin® Version 3.6.12
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.