Фишинговая ссылка

[Harmet]

Мужики, нужна помощь...

С недавних пор какая то злюка меняет общий шаблон форума.

После тега </body> в общем шаблоне форума дописывается вредоносный скрипт, с редиректом на фишинговую рекламу.

Версия IPB 2.1.7.

Первым подозрением, было - утечка пароля. Сменены пароли на FTP, SSH, MySQL, для страховки даже на личный кабинет на сайте хостинга, почтовом серваке и т.д. Пароли нигде не сохраняются, все ввожу руками при каждом обращении. Но проблему это не решило, скрипт, прописался вновь...

Техподдержка хостинга разводит руками, и открещивается, хостинг на Unix и шанс что заражен сервер хостинга маловат.

Есть может у кого идеи, где дыра, и как заштопать?

[Arhar]

они вполне могут быть идиотами, это не факт что хостинг не заражен

ну и плевать что пароль вручную, плевать что сменил, если заражен комп, с которого пароль вводишь (тотал коммандер - УГ!!!)

ну а таких тем было много

предстоит долгая ручная тупая работа - поиск где, отсюда вывод почему

[Harmet]

Кое что накопал с тех.поддержкой хостинга.

С момента смены пароля, никаких обращений к ресурсам, кроме как по HTTP не было.

Сняли лог HTTP обращений за неделю.

И там я обнаружил, что с IP 212.117.160.123 кто то постоянно юзает admin.php. При этом IP Member Tools говорит что с этого IP ни одного пользователя никогда не было. Скопировал путь из лога куда он обращался, и попал на страницу изменения общего шаблона форума.

Я так понимаю, кто то юзает админку без авторизации, через анонимный прокси....

 

Где может быть дыра?

Ах, да, код естественно опять появился...

Изменено 17 Марта 2011 пользователем Harmet

[Arhar]

стало быть направленно ломает, смени пароль форума и смотри через что он будет его (пароль) получать, тогда поймешь, где дыра

если не будет получать - дыра в админке как таковой - нуль с бекдором

[Harmet]

стало быть направленно ломает, смени пароль форума и смотри через что он будет его (пароль) получать, тогда поймешь, где дыра

если не будет получать - дыра в админке как таковой - нуль с бекдором

Не получал, значит второй вариант.

Появилась идея, переименовать admin.php в hrenpoimicho.php и убрать на него кнопку админцентр.

Вот, только где и что прописывать, помимо просто переименования файла?

[AlexMorbo]

.htaccess и .htpassw или как там тебя спасут

[Harmet]

.htaccess и .htpassw или как там тебя спасут

Проверял. Там все чисто.

.htaccess содержит:

 

<Files conf_global.php>

deny from all

</Files>

php_value upload_max_filesize 4M

[Arhar]

надо бы посмотреть, какая адресная строка у него, когда он в админку входит без пароля

[Harmet]

Последовательно, из лога:

GET /forum/admin.php

POST /forum/admin.php?adsess=&act=login&code=login-complete

GET /forum/admin.php?adsess=837b9f2ac08a6e98070ff2144bc8618d&

GET /forum/admin.php?adsess=837b9f2ac08a6e98070ff2144bc8618d&section=lookandfeel

GET /forum/admin.php?adsess=837b9f2ac08a6e98070ff2144bc8618d&section=lookandfeel&act=wrap&code=edit&id=3&p=-1

POST /forum/admin.php?adsess=837b9f2ac08a6e98070ff2144bc8618d

GET /forum/admin.php?adsess=837b9f2ac08a6e98070ff2144bc8618d&section=lookandfeel&act=sets&messageinabottleacp=%C2%E5%F0%F5%ED%E8%E9+%E8+%ED%E8%E6%ED%E8%E9+%EA%EE%EB%EE%ED%F2%E8%F2%F3%EB%FB+%F4%EE%F0%F3%EC%E0+%EE%E1%ED%EE%E2%EB%E5%ED%FB

[Arhar]

заходит через форму авторизации, просто вводит что-то в поля, надо смотреть код

если сменил пароль, а он опять также зашел, значит в коде будет какая-то возможность ввести слово, которое автоматически дает авторизацию, пароль-для-всех

[AlexMorbo]

Меня не так поняли поставьте HTTP авторизацию

[FatCat]

.htaccess и .htpassw или как там тебя спасут

Проверял. Там все чисто.

А следует иметь там что-то наподобие моего:

<Files ~ "admin.php$">
AuthType Basic
AuthName "By Invitation Only"
AuthUserFile /home/user/.htpasswd
Require valid-user
</Files>