Форум ibp 3.0.5 заражен вирусом.

Антон Привольский · 12 Июня 2011

Всем привет.

версия форума 3.0.5, никаких модов не стоит. Просто стандартный форум.

Яндеск в сервисе вебмастер постоянно выдает

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Выполнение вредоносного кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, а также к порче или краже данных.

Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

Перепроверка будет выполнена в течение нескольких дней.

Убедитесь, что удалили код, по крайней мере, с указанных ниже страниц.

Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а также элементы, общие для всех страниц. Страница Дата последней проверки

http://www.engineer-constructor.ru/index.php/topic/779-779/ 10.06.2011

http://www.engineer-constructor.ru/index.php/topic/413-413/ 10.06.2011

http://www.engineer-constructor.ru/index.php/topic/20-20/page__st__40 10.06.2011

http://www.engineer-constructor.ru/index.php/topic/411-411/ 11.06.2011

http://www.engineer-constructor.ru/index.php/topic/784-784/ 11.06.2011

http://www.engineer-constructor.ru/index.php/topic/408-408/ 11.06.2011

http://www.engineer-constructor.ru/index.php/topic/12-12/ 11.06.2011

http://www.engineer-constructor.ru/index.php/topic/8-8/page__st__20 11.06.2011

http://www.engineer-constructor.ru/index.php/topic/414-414/ 12.06.2011

Информация предоставлена партнёром Яндекса компанией Sophos ®. Яндекс не гарантирует точность Информации и не возмещает никакой ущерб, прямой или косвенный, причиненный в результате использования или невозможности использования Информации, включая, но не ограничиваясь этим, убытки, вызванные неточностью предоставляемой Информации.

каспер выдает

12.06.2011 9:39:18 файл: http://1506842069/GoogleSearch.class обнаружено: троянская программа 'Trojan-Downloader.Java.Agent.mq'

12.06.2011 9:39:18 файл: http://1506842069/GoogleSearch.class доступ заблокирован

12.06.2011 9:39:21 файл: http://erin-katina2.uni.cc/d.php?f=16&e=0 обнаружено: троянская программа 'Trojan-Spy.Win32.Carberp.vy'

12.06.2011 9:39:21 файл: http://erin-katina2.uni.cc/d.php?f=16&e=0 доступ заблокирован

выгрузил форум на локальную мащину, проверил антивирусом, ни чего не нашел.

как от этого избавиться?

FatCat · 12 Июня 2011

Скрипт генерирует код:

Посмотрите в сорцы страницы, в самом начале вредоносный скрипт.

Антон Привольский · 13 Июня 2011

Скрипт генерирует код:

Посмотрите в сорцы страницы, в самом начале вредоносный скрипт.

Это я знаю. Меня интересует как его убрать повсеместно и залепить уязвимость через которую он пролез.

KODEAK · 13 Июня 2011

перезалейте файлы от IPB 3.0.5 и смените шаблон форума =)

А ну да еще не используйте нуллы

Изменено 13 Июня 2011 пользователем KODEAK

Ph-A · 13 Июня 2011

Перезалить мало. На одном форуме у нашел залитый файловый менеджер.

Достаточно было ftp взломать один раз, а потом иногда добавлять вирусы ...

А нуленный форум иногда и ломать не надо. Все идет комплектом.

Антон Привольский · 13 Июня 2011

Форум лицензионный.

перезалить - это переустановить?

есть где последовательность действий, мануалы?

заранее благодарен.

Ph-A · 13 Июня 2011

Форум лицензионный.

3.0.5?

перезалить - это переустановить?

нет. просто залить на хостинг заново файлы чистого дистрибутива.

это как минимум.

Антон Привольский · 13 Июня 2011

Форум лицензионный.
3.0.5?

перезалить - это переустановить?
нет. просто залить на хостинг заново файлы чистого дистрибутива.
это как минимум.

да, Форум лицензионный 3.0.5.

а узнать какие файлы заражены и каким способом, возможно?

перезалить то я перезалью. А если произойдет повторное заражение...

Ph-A · 13 Июня 2011

да, Форум лицензионный 3.0.5.

Просто интересно, где качают лицензию со сбитыми копирайтами.

а узнать какие файлы заражены и каким способом, возможно?

Вы же скачали его на локальную машину.

Берете любую программу которая умеет искать файлы по заданной маске.

Раньше заражали все файлы .js и index.php. Сейчас несколько раз сталкивался, что заражен один index.php. Корневой.

перезалить то я перезалью. А если произойдет повторное заражение...

Предотврщение взлома форума IPB

И много похожих тем.

Антон Привольский · 13 Июня 2011

Нашел и удалил во всех файлах джава скрипт о котором мне говорил каспер.

Ни в одном php файле данного скрипта не было найдено.

Перезалил чистые файлы на хостинг.

Проблема осталась.

При включении родного скина, проблема остается.

По поводу скрытия копирайта есть на форуме ветка.

FatCat · 13 Июня 2011

Ни в одном php файле данного скрипта не было найдено.

Не святым же духом код попадает в сорцы страниц. Если нет в файлах движка, значит в базе и в кеше.

KODEAK · 15 Июня 2011

Или дело в скине

Войти

Форум ibp 3.0.5 заражен вирусом.

Вопрос

Ссылка на комментарий

Поделиться на других сайтах

11 ответов на этот вопрос

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Ссылка на комментарий

Поделиться на других сайтах

Присоединиться к обсуждению

Важная информация