Взломан форум...

[VaKa]

Здравствуйте. Если тема не в том разделе, перенесите, пожалуйста.

Проблема существует с 19.09. В шапке форума вдруг появилась реклама от гугла. У нас аккаунта в adsense нет. Код рекламы был вписан в файл index.template.php. Выглядит таким образом:

Код Выделить Развернуть

echo '<div align="center"><div align="center">
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- ads1 -->
<ins class="adsbygoogle"
     style="display:inline-block;width:728px;height:90px"
     data-ad-client="ca-pub-7897366512601468"
     data-ad-slot="4933681431"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script></div></div>';


Удалили. Появилось снова. Удалили. И так вот уже третий день удаляем вручную... Рекламные блоки появляются снова.

Версия smf при взломе была 2.0.6.
Написали вчера хостеру рег.ру. Как обычно - ни ответа, ни привета.
Написали в гугл (форма для извещения о несанкционированном коде adsense) - тоже молчат.
На хостинге явных следов взлома нет, всё выглядит как обычно...
Помяняли все пароли от сайта/форума/хостинга - не помогает.

А сейчас вот на админский мэйл пришла "вежливая" отписка от этой твари (внезапно на английском). Мол я хакер, оставьте мою рекламу на вашем форуме, я не хочу его уничтожать и пр. Я вас типа "защищать" зато буду. Ага.

Может кто в курсе, чего нам теперь делать? Если так, то подскажите, пожалуйста. Я нифига не программист, поэтому сама форуму помочь не смогу без вашей помощи... Заранее спасибо за подсказки.

[Yarik]

Пароль доступа по FTP поменяли?

[VaKa]

Пароль доступа по FTP поменяли?

Да. Еще 19 числа.

[digger®]

Айболитом проверьте форум, наверняка где-то шелл залитый лежит.

[Depressive]

я в личку отписал...

[digger®]

я в личку отписал...

Убрать чужой шелл, оставить свой?

[Depressive]

Убрать чужой шелл, оставить свой?

акститесь товарищь))))) у меня не так давно была похожая ситуация.... разобрался быстро)))

[digger®]

акститесь товарищь))))) у меня не так давно была похожая ситуация.... разобрался быстро)))

Ну так поделились бы со всеми мудростью сакральной, тут ведь не раздел предложений работы и ТС вроде подсказку просил.

[Depressive]

1 - Включить на хостинге логи, чтобы видеть, какие файлы были изменены в определенный промежуток времени.
2 - хотелось, бы иметь доступ хотя бы к FTP чтобы посмотреть глазками (у меня нет причин гадить девушке))))), поэтому и написал в личку.

зы : ТС, самый главный вопрос... Вы бэкапили файлы форума до взлома?

[VaKa]

Здравствуйте, и извините за молчание.

Доступ к форуму/сайту будет завтра вечером или в среду, когда вернется "тех.админ". Мы забрали доступ к БД у всех аккаунтов, кроме его, чтобы хоть как-то уменьшить возможные точки доступа (может, и глупо, конечно).

Вычистили свои компы. У меня был троян(
Форум бэкапит наш хостер. Есть бэкапы за каждый день, да.
Логи у хостера попросили. Они все еще тянут с ответом.

Depressive, большое спасибо за ваше предложение! Я вам дам данные для входа... надеюсь, зватра-послезавтра еще не поздно и у вас будет время?)

digger®, мы сделали диагностику, спасибо. Не подскажете, чего с результатами делать дальше?

[Depressive]

надеюсь, зватра-послезавтра еще не поздно и у вас будет время?)

конечно. как получится, высылайте в личку.
то, что есть бэкапы это очень хорошо.. считайте 95% успеха именно в них.

[bms]

А пароль от входа в личный кабинет хостинга меняли? Еще как вариант, проверить установленные моды, может кто для SEO оптимизации, что-нибудь поставил?

[VaKa]

А пароль от входа в личный кабинет хостинга меняли? Еще как вариант, проверить установленные моды, может кто для SEO оптимизации, что-нибудь поставил?

Пароли поменяли абсолютно все.
Я примерно год назад общалась со знакомым программистом, он как раз безопасностью занимается, ну вот он сказал, что сайт как решето, как раз из-за модов. Плюс WP коряво установлен. Он даже некоторые дыры закрывал, но, видимо, либо мы их опять наделали, либо их было слишком много...

А эта тварь развлекается. Уже и снизу рекламу повесил.

[ВладимирК]

У меня из компьютера вирус в секунду украл пароли.
Я из с дури в текстах хранил и через ФТП тоже поставили типа вирус.
Гугль письмо прислал а так бы и не знал.
Теперь пароли храню в записной книжке.

[bms]

А у вас на хостинге один сайт крутится, может соседние с болячкой?

На крайняк - переустановить форум, восстановить базу данных, по одному ставить заново моды и смотреть результат.

[Mavn]

Вам не помешало бы все же получить логи апача. Если в компах своих уверены то данные логи помогут выяснить как происходил взлом. Возможно ломаюют не сам форум, а сопутствующее по... например wp

[VaKa]

Короче, мы, похоже, как-то сами справились (надолго ли - не знаю). Большое вам всем спасибо за помощь и подсказки

Посмотрели логи. Кроме нас и работников хостинга через FTP никто не заходил (IP работников засветились в тот момент, когда они как раз заходили за логами, похоже, т.е. уже после возникновения проблемы).

Вирусов, троянов и пр. пакости в файлах не обнаружено. Зато был троян на моем компе, каюсь...

Айболит показал 5 (предложительно) шеллов в файлах сайта. На поверку это оказывались либо моды (сравнивали с оригиналами - то же самое, т.е. лишних кодов там нет), либо вообще обычными файлами ВП (тоже ничего лишнего - проверяли вручную). Моды были нерабочими, т.е. к тому моменту деактивированными, мы их удалили. А также убрали контактную форму... Файлы все удалили и залили "чистые". Запретили загружать авы непосредственно на форум.

... Одна интересность всё же была. В библиотеке сайта среди всяких разных картинок внезапно обнаружился странный файл с кодом. Мы его, ессно, не заливали и впервые видим. Загружен он был где-то в середине сентября. И вроде папка лишняя на форуме оказалась... надо переспросить у "тех.админа"...

[VaKa]

"Ничего не предвещало", а вчера таки реклама вылезла снова. Да не какая-то, а сплошная порнуха (отмостил мелко, что ли?). Спасибо одному из наших пользователей, он мне дал ссылку вот на это. Проверили вручную все аватары... и правда - несколько загруженных файлов .png.tmp, причем залиты они были давныыым-давно, поэтому старые файлы, которые мы скопировали и внесли на форум вместо "зараженных", тоже были заражены. Странно, что айболит эти файлы проигнорировал.

Мы запретили загружать аватары на форум, т.е. пользователи теперь могут только давать ссылку на картинку, лежащую на стороннем фотохостинге. Надеюсь, так мы решим проблему раз и навсегда. Пока полет нормальный...

[digger®]

Странно, что айболит эти файлы проигнорировал.

Потому что, вы экспресс сканирование делаете, при котором проверяются только файлы, заражение которых более вероятно.

[VaKa]

Потому что, вы экспресс сканирование делаете, при котором проверяются только файлы, заражение которых более вероятно.

Нет... мы сканировали на самом "жестком" режиме. На 2, вроде. Но как я сейчас выяснила, сканировали файлы до 5МБ (а по умолчанию там совсем мало стояло), поэтому эти файлы туда не попали, т.к. были шесть с чем-то МБ. Не повезло...

[VaKa]

Заказываем лечение у специалистов. Мы слишком примитивные для самостоятельной помощи самим себе

[digger®]

Заказываем лечение у специалистов. Мы слишком примитивные для самостоятельной помощи самим себе

Могу посмотреть.

[VaKa]

Могу посмотреть.

... милая у вас подпись под авой, извините за офф

Ответила в лс.

[digger®]

... милая у вас подпись под авой, извините за офф

Это из анекдота...

[VaKa]

Хочу сказать огромное спасибо digger® за помощь в решении данной проблемы! Он таки добился того, что на форуме не болтается чужая реклама, при входе не перекидывает на др. сайт и вредитель больше не может творить свои мерзкие дела у нас Ну, и за невольный ликбез благодарю, и за терпение в раскладывании по полочкам непонятных моментов, коих было дофига и больше.

digger®, вы просто золото, спасибо вам от меня и всех пользователей форума!

[digger®]

digger®, вы просто золото, спасибо вам от меня и всех пользователей форума!

[Krazy]

А не расскажите в чем было дело?

[digger®]

А не расскажите в чем было дело?

Кто-то, когда-то сгенерировал себе ssh public key и пакостил  подключаясь по ssh, а так как это shared hosting, то такие логи там недоступны, а смена паролей через панель сгенерированные ключи не меняет. Когда по запросу предоставили логи ssh, стало понятно в чем дело. Ключи обнаружили и удалили. Форум почистили и привели в порядок.

[leon]

при входе не перекидывает на др. сайт и вредитель больше не может творить свои мерзкие дела у нас

Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д. Не думаю, что вы сами этот код ставили.
Кроме того очень медленно грузятся страницы, у вас в файле .htaccess ничего лишнего нет?

[valek0972]

Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д. Не думаю, что вы сами этот код ставили.

Не у вас случайно у самого на компе что то твориться, никакой рекламы и тд. не заметил и близко.

Кроме того очень медленно грузятся страницы, у вас в файле

Если это медленно открываются страницы, тогда я не знаю:
Откуда вы вообще брали данные.

[BoPoH]

[offtopmode]
а как сделан такой вывод категорий в 2 столбца?
[/offtopmode]

[leon]

Откуда вы вообще брали данные.

Какие именно данные?

[ALINA]

Вы уверены, что у вас всё нормально? При попытке зайти на ваш форум стали открываться в большом количестве новые окна, в которых была реклама - казино, партнерки и т.д.

На форуме все чисто там . Никаких лишних окон .Спецом адблок отключила Страница сгенерирована за 0.041 секунд. Запросов: 17.

[gorbi]

Господа, а кто-то может дать несколько бесплатных советов в мало букв на что обратить внимание на итогам случившегося и не только. По типу делай раз, делай два и т.д. Спасибо.

[Некто]

а как сделан такой вывод категорий в 2 столбца?

кстати, тоже заинтересовало, как?)

[GeorG]

а как сделан такой вывод категорий в 2 столбца?

Под заказ - http://www.simplemachines.ru/index.php?topic=16401.0

[ALINA]

del