ХАК - пользователь каким то образом стает администратором

[Vadim2268]

Доброго времени суток!

Сегодня, то есть уже вчера утром зайдя на форум обнаружил, что вместе со мной на форуме еще один администратор!     

Зашел в редактирование юзера и сменил группу на обычные пользователи. Списал все на глюк, бывает подумал, но вот вечером этот же юзер снова на форуме и он снова администратор... Хак?

Как такое может быть? Куда копить и как?

[Yarik]

Доброго времени суток!

Сегодня, то есть уже вчера утром зайдя на форум обнаружил, что вместе со мной на форуме еще один администратор!     

Зашел в редактирование юзера и сменил группу на обычные пользователи. Списал все на глюк, бывает подумал, но вот вечером этот же юзер снова на форуме и он снова администратор... Хак?

Как такое может быть? Куда копить и как?

Да собственно ничего.Когда полностью форум уведут спишете всё на глюк...Делов то.

[Солярис]

Как такое может быть? Куда копить и как?

Взлом форума. Залили в файлы на хостинге какую-нибудь гадость.
Пока не поздно меняйте все пароли (от своего аккаунта на форуме, от аккаунта на хостинге и от базы данных).
Проверяйте также свой компьютер на предмет вирусов (различными антивирусными программами).

Обращайтесь также за помощью к поддержке хостинга.

При помощи программы AI-BOLIT можете попробовать просканировать файлы форума (предварительно скачав их к себе на компьютер) на предмет вредоносного кода.
Но с этим средством необходимо быть осторожным. Не все оповещения программы могут обозначать внедренный вредоносный код.

Если есть бэкап файлов и базы данных форума на то время, когда форум работал нормально, то восстановите данные из него.
Но даже после восстановления необходимо все равно сменить пароли и искать внедренный код, который мог ранее быть залит на сайт, а воспользовались этим только сейчас.

Да собственно ничего.

К чему Ваш совершенно неуместный сарказм? Лучше бы помогли человеку дельным советом.

[Yarik]

К чему Ваш совершенно неуместный сарказм? Лучше бы помогли человеку дельным советом.

А причем здесь сарказм?Если у человека взлом форума = глюку форума и он первым делом бежит не пароли менять а просто снимает админские права у пользователя взломавшего форум!!! а когда тот вечером демонстративно ещё раз показывает кто теперь хозяин форума опять же ничего не делает.
При таком наплевательском отношение к безопасности форума и всего остального это равнозначно тому что ничего не делать.
Судя по всему взломщик уже более суток имеет доступ.Просто взломщик видать имеют целью постебаться и не более,за это время форум можно бы было помножить на ноль очень много раз.
Закрывать полностью форум для любого доступа извне,кроме себя естественно - подымать хостера и логи апача и это надо было же конечно сразу и моментально делать(а не снимать админские права).Разбирать логи на предмет взлома.Там всё будет.

[Vadim2268]

Всем спасибо.

Имеются все нужные бекапы, потому я особо не переживаю если его "помножить на ноль". Меня больше волнует нет ли дырки в самом форуме, так как смена паролей в этом случае не очень поможет, а судя по тому, как атакуют форум спамеры, то дыр хватает.

Логи ошибок форума я конечно же проверил, вот например небольшой кусок того, что делает с форумом данный товарищ:

Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 23:01:46
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/default/css;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 23:01:44
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/default/scripts;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:59:21
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Smileys/vvv;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:59:17
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Smileys/akyhne;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:46
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;sa=perms;back_look=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;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:26
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images/english;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:15
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images/icons;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:14
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images/admin;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:13
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images/buttons;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:11
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images/russian;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:07
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/css;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832
Применить фильтр: Показать сообщения об ошибках этого пользователя 7
Применить фильтр: Показать сообщения об ошибках этого IP адреса 217.118.81.30  
  Показать в обратном хронологическом порядке 06 Марта 2017, 22:58:06
Применить фильтр: Показать сообщения об ошибках этой сессии 5f2c19326f13506c8d430f760e596841
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://forum.forum.com/index.php?action=admin;area=packages;onlyfind=/var/www/sat/data/www/forum.forum.com/Themes/core/images;sa=perms;xml;f2af327=5f2c19326f13506c8d430f760e596841
Применить фильтр: Показать ошибки только с теми сообщениями
2: file_exists(): open_basedir restriction in effect. File(/var/www/msdteam/data/www/forum.forum.com/Themes/core) is not within the allowed path(s): (/var/www/sat/data:.)
Применить фильтр: Отображать ошибки только этого файла
Файл: /var/www/sat/data/www/forum.forum.com/Sources/Packages.php
Строка: 1832

[Vadim2268]

В логе апача только вот такое с его IP:

217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET / HTTP/1.1" 200 2786 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/css/webkit.css HTTP/1.1" 200 283 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/css/index.css?fin20 HTTP/1.1" 200 57045 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/scripts/theme.js?fin20 HTTP/1.1" 200 3688 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/scripts/sha1.js HTTP/1.1" 200 5451 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/images/upshrink.png HTTP/1.1" 200 638 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:11 +0200] "GET /Themes/default/scripts/script.js?fin20 HTTP/1.1" 200 47617 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/icons/login_sm.gif HTTP/1.1" 200 391 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/upshrink2.png HTTP/1.1" 200 639 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/theme/backdrop.png HTTP/1.1" 200 370 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/theme/submit_bg.png HTTP/1.1" 200 487 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/theme/menu_gfx.png HTTP/1.1" 200 2073 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/theme/frame_repeat.png HTTP/1.1" 200 113 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /Themes/default/images/theme/main_block.png HTTP/1.1" 200 18028 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:12 +0200] "GET /index.php?PHPSESSID=53bsdefpu8rq4kb6ssqtcj0ji1&scheduled=task;ts=1488744000 HTTP/1.1" 200 43 "http://forum.forum.com/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
217.118.81.29 - - [05/Mar/2017:22:11:13 +0200] "GET /favicon.ico HTTP/1.1" 200 3262 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"

[Snow_Irbis]

Логи ошибок форума я конечно же проверил, вот например небольшой кусок того, что делает с форумом данный товарищ:

Колупает данный товарищ твой форум, его IP-адрес есть в СПАМ базе, поэтому вероятнее всего данное действие делает не человек, а зараженный ПК из какой то бот-нет сети.

http://forum.forum.com/index.php?action=admin;area=packages;sa=perms;back_look=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;f2af327=5f2c19326f13506c8d430f760e596841

Вот тут он передает вот такие параметры, которые закодированы в base64, хотя что они делают мне не понятно

Код Выделить Развернуть

a:6:{i:0;s:73:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/default/languages";i:1;s:70:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/default/images";i:2;s:69:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/default/fonts";i:3;s:67:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/core/images";i:4;s:60:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/core";i:5;s:63:"/var/www/satoneinfo/data/www/forum.satbiling.com/Themes/default";}f彜ם橽w玜ិѾꑮ}뎵
Если сегодня с этого IP-адреса были обращения к форуму, то можно открыть журнал домена и посмотреть в логах к каким файлам велось обращение и заменить их (а еще лучше переустановить форум, чем искать какие файлы были инфицированы и подчищать хвосты)

[GeorG]

Меня больше волнует нет ли дырки в самом форуме

В самом форуме, известных нет.

p.s. Обновите форум до последней версии (2.0.13, та что у вас, на глючном патче работает).

[Vadim2268]

Спасибо, обновился через Админку, прошло все успешно, но вот в админке и дальше пишет, что у меня 2.0.12