Sergey

Забавная вещь вышла. Опять появился редирект... Тот же на давидсона и там же. Исправил, пошёл ковырять, чтобы что-нибудь найти. Наткнулся на понял, что делал почти аналогичные действия с теми же самыми файлами-картинками и никак не мог найти ответа в интернете, собственно в то же время и зарегистрировался тут, чтобы попытаться найти ответы, но увы и ах (ну что и не удивительно, ведь статья вышла позже). В итоге зачитал ещё что спасибо отдельное), полез в cashe и отрыл там ещё один вирь(к слову не sh.php, а просто абракадабра.php), который был незамедлительно удалён... Жду новых поступлений...

Ну, патчи ставим по мере поступления, тут уже даже не от меня зависит. Их поступление должен отслеживать человек, ответственный за форумы (в данном случае это не совсем я=) ), поэтому не всё удаётся сделать своевременно. Зато потом приходится оперативно искать баги, "ковырякаться" =). А в целом идея с последними версиями и патчами - само самой разумеется. Народную медицину в виде скриптов-самописок не приветствуете?

Столкнулся с аналогичной проблемой сегодня, тоже редирект на киркдавдисона... Тот же самый файл... закоментил код, посмотрим, что будет. Узнать бы как себя обезопасить от подобных вставок кода в файлы форума... Есть соображения?

Добрый вечер! Уточните пожалуйста, цвет фона какого элемента поменялся? Вы можете предоставить ссылку на форум с чатом(если нет желания тут, то в личную). Возможно мне удастся дать совет. Ещё хотелось бы узнать, а какой именно чат вы поставили(т.е. ссылку на скачанный архив).

Предлагаю воспользоваться данным скриптом. Инструкции и скрипт внутри вложения. Он удалит все .htaccess в папках и подпапках. Далее предлагаю, как я и писал выше, сменить пароли от базы данных, после смены, соответственно, прописать их для форума можно в файле, который находится в корне сайта в файле cong_global.php на 6й строке переменная $INFO['sql_pass']. Сменить пароли админу форума, от фтп. В общем все ключевые пароли, которые могут повлиять на доступ к форумусайту. Дальше проверить папки на наличие "левых" файлов. Для этого почитайте статью вот тут ну и в целом на тему вирусов wso, eval, base_64. Надеюсь, что всё это поможет. У меня пока слава Богу ничего не появилось вредного, после удаления "зараженного злыдня"-файла в папке applications. Если кто-то ещё осведомлён, как решить данную проблему или же имеет замечания по моим рекомендациям пожалуйста отписывайтесь, тема очень хорошая и требует проработки!

Привет, Prowler! Заходишь в Управление стилями и шаблонами > Управление шаблонами в IP.Board, там открываешь вкладку CSS, тебе нужен файл ipb_styles.css. В нём с 1062 строки ( у меня так в дефолтном ) начинаются табличные стили /* TABLE STYLES */, в нём тебя интересует стиль для table.ipb_table td (строка 1071 у меня), собственно если чуток шаришь в CSS, то поиграй со стилями - толщиной границы и т.д. Собственно код, который выводит список форумов находится рядом в списке шаблонов в подпункте "Список форумов" boardIndesTemplate. Вроде нигде не соврал. Если что поправьте. Удачи!

Ну если его в той папке нет, то не факт, что его вообще нет))). У нас вообще долговременная атака походу была, т.к. очень хитрожопо всё появилось. Сначала наткнулся на картинку, залитую в /uploads/profile с вредоносным кодом (нашёл в логах обращение на неё, что генерило ошибку), удалил её, а потом вот этот редирект через пару недель вылез. Так что не мешало бы провериться, т.к. судя по всему очень хорошо следы заметают ребята. Рекомендовать ничего не осмелюсь. В гугле нашёл пару ссылок на "веб" докторов, они нифига не нашли... а чьи-то скрипты грузить и запускать - сомнительное дело, во всяком случае мы не решились. Надеюсь, что у тебя всё в порядке будет! Удачи и поменьше злыдне-вирусов! =)

Pashok(one), сегодня до обеда возился на своём форуме с подобной проблемой. Докопался до того, что нашёл у себя веб-шелл wso 2.5. Подробнее гугл расскажет, что это такое. В кратце история таже - редирект со всех мобильных клиентов на другие сайты с целью монетизации мобильного трафика. В общем вирусняк залил кучу однообразных .htaccess файлов во все папки и подпапки. Советую тебе проверить. До этого ниодного .htaccess не было. Бэкдор вируса обнаружил в папке admin applications прямо в корне лежал файл со странным названием, собственно в нём куча зашифрованного кода, который удалось декодировать, слегка погуглив... В общем удалил все .htaccess с сайта скриптом, сменил пароли от бд, админки и прочего, чего и тебе советую, да и всем, кто столкнулся с подобной проблемой.