point111 Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 Не нашел другого места, где создать такую тему... Ломанули старенький форум на версии 2.3.6, искать нехорошие файлы скорей всего не реально, надо ставить по новой. Форум был лицензионный, но дистрибутив и ключ не сохранились. Если поставить нуллед и импортнуть в него базу, подхватит ли он лицензию? Это вообще будет считаться лицензионным делом, или всё равно пиратка? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 Можно поставить на ту же версию, которая была до этого. Возможно будут ошибки, которые можно обнаружить и исправить. Ставить можно как на ломаную, так и оригинальную версию, никаких претензий не будет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 18 декабря, 2015 Автор Поделиться Опубликовано 18 декабря, 2015 Я наверное не правильно сформулировал вопрос. Я и собираюсь поставить ту версию, которая была - 2.3.6, но оригинального дистрибутива нет, есть найденная на торрентах обнуленная. А хочется сохранить лицензию (адрес домена когда-то был сообщен продавцу). Ставить поверх совсем не хочется, хочется гарантировано избавиться от той дряни которую мне насыпали, т.е. поставить с нуля и залить базу и загруженные пользователями картинки. Но я не знаю как модифицируются обнуленные версии и где хранится лицензия, поэтому меня интересует, сохраненная база содержит лицензию или существуют какие-то "файлы ключей" или ещё какие персональные метки генерятся когда дистрибутив передается пользователю при покупке, которые правообладатели могут проверить? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
soka Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 Взломать 2.3 не так просто. Каким образом его взломали? В чем заключается взлом? Есть какие-то конкретные подтверждения что взломали именно его? Если ли на аккаунте другие сайты? Искать нехорошие файлы реально и в некоторых случаях даже предпочтительнее, но этим естественно должны заниматься компетентные люди. Искать вам все равно придется, в противном случае файлы придется удалять полностью вместе с вложениями, либо как минимум исключить исполняемые файлы из папки загрузки. Нулл может быть как скрипт без лицензионного ключа так и оригинальный дистрибутив в котором все функции сохранились. Правда найти последний не так просто, и в любом случае имеете шанс нарваться на бэкдор в скрипте которые так любят оставлять на варезниках. Лицензия прикрепляется к домену, так что вы можете использовать любой тип дистрибутива - проверяется наличие лицензии на использование ипб на то домене. Но это конечно некомильфо при лицензии использовать варезные дистрибутивы. Надо заботится о том что всегда был бэкап дистрибутива. Это прописная истина на ряду с обязательным бэкапом базы данных. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 18 декабря, 2015 Автор Поделиться Опубликовано 18 декабря, 2015 взломали вот так "подхватил" такой же загрузчик файлов и получил в корне около тысячи директорий с перенаправляющими куда-то страницами и скриптами. Хостер заблокировал домен пока это всё не было удалено. Пароли сменил даже на почте куда приходят уведомления хостера. Для восстановления будут использованы только база и загруженные графические файлы, все файлы будут проверены, графика ли они, всё остальное будет удалено. Я понимаю, что есть шанс нарваться на бэкдор, но считаю такой вариант менее опасным, чем продолжать использовать зараженный форум. Можно в личку цену на услуги докторов? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
soka Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 Версией форума случайно не ошиблись? Там 3.x, да и у Вас в профиле указан 3.4x. Обычно каждой уязвимости характерен свой тип взлома. Такой тип явно не характерен для 2.3 - нет там таких явных уязвимостей. Есть разные xss которые на автомате эксплуатировать довольно сложно, что не характерно для того что вы описываете. Ручной взлом имеет свои особенные черты. 1 час назад, point111 сказал: Я понимаю, что есть шанс нарваться на бэкдор, но считаю такой вариант менее опасным, чем продолжать использовать зараженный форум. Менее опасным, но не обеспечивающий защиту от повторного взлома. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 18 декабря, 2015 Автор Поделиться Опубликовано 18 декабря, 2015 там торйка, а у меня второй, но в корне был загрузчик файлов с таким же именем. В профиле у меня другой форум. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
soka Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 Эти оба форума случайно не работают на одном аккаунте? Очень интересно посмотреть каким образом взломали 2.3 до такой степень. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 18 декабря, 2015 Автор Поделиться Опубликовано 18 декабря, 2015 Они на разных хостингах, взломанный на мастерхосте, второй в штатах. Но подсказка хорошая, вместе со взломанным стоял WordPress, я как-то даже не подумал, о том, что ломануть могли чрез него, в его директориях контента тоже была такая же куча чужих каталогов. Его я тоже снес (точнее упаковал) и буду ставить заново. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
soka Опубликовано 18 декабря, 2015 Поделиться Опубликовано 18 декабря, 2015 15 минут назад, point111 сказал: в его директориях контента тоже была такая же куча чужих каталогов Однозначно с далью вероятности 99,99% взлом был через WP. Конечно фору уже скопроментирован, для эффективного лечения надо менять все пароли - от администраторов форума, до бд и фтп и удалять шеллы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 18 декабря, 2015 Автор Поделиться Опубликовано 18 декабря, 2015 Что-то я теперь передумал ставить обратно WP и захотел вернуть форум как есть просто сменив все пароли. Шеллы как искать? Универсальный метод есть или нужен опыт и "знать в лицо"? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 19 декабря, 2015 Поделиться Опубликовано 19 декабря, 2015 Есть хорошая утилита для linux, ищет по всем файлам всевозможные вирусы. Если сервер на linux, могу подсказать что и как делать Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 19 декабря, 2015 Автор Поделиться Опубликовано 19 декабря, 2015 Не нашел где у мастехоста посмотреть операционку, но при распаковщик сам проверил архив на вирусы и нашел их толпу. зы а как тут использовать спойлер? стандартный BB код не сработал Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 19 декабря, 2015 Поделиться Опубликовано 19 декабря, 2015 19 минут назад, point111 сказал: а как тут использовать спойлер? стандартный BB код не сработал Иконка глаза на панеле инструментов Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 19 декабря, 2015 Автор Поделиться Опубликовано 19 декабря, 2015 Спойлер Проверка архива № 1: forum.zip mirror: Access failed: 550 Transfer aborted: virus 'PHP.Hide' detected (md5.php) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (option.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (error.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (footer.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (footer.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (ini.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (login.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (global.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (sustemesuse.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (dump.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (lang_tar.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (global.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (object.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (ajax.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (acp_lang_member.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (footer.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (dir.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (session.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (stats.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (admin.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (code.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (dirs.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (search.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (mysql_updates.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (global.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (dirs.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (db.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (files.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (css.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (db.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (search.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (defines.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (header.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (article.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (alias.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (utf.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (ini.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (general.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (general.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (plugin.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (diff.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (template.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (file.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (info.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (global.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (sql.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (themes.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (admin.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (config.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (error.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Hide' detected (md5.php) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (search.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (functions.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (cache.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (view.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (files.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (defines.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (model.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (ini.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (system.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (test.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (ajax.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (press.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (config.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (dirs.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (page.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (start.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (functions.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (ini.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (options.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (xml.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (themes.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (config.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (list.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (diff.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (config.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Malware.Mailbot-1' detected (footer.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (themes.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (proxy.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'PHP.Trojan.Uploader' detected (dump.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (help.php.suspected) mirror: Access failed: 550 Transfer aborted: virus 'Php.Trojan.StopPost' detected (header.php.suspected) вот список зараженных Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 19 декабря, 2015 Поделиться Опубликовано 19 декабря, 2015 Можно же заменить файлы на оригинальные Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 21 декабря, 2015 Автор Поделиться Опубликовано 21 декабря, 2015 В 19.12.2015 в 23:34, Respected сказал: Можно же заменить файлы на оригинальные Вот и возвращаемся к первому посту - - дистрибутива нет, оригинальные файлы взять негде. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 21 декабря, 2015 Поделиться Опубликовано 21 декабря, 2015 Можно взять null версию проверенных нуллеров IPB 2.3.6 IBR Nulled by Maybe.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 23 декабря, 2015 Автор Поделиться Опубликовано 23 декабря, 2015 Огромное спасибо. Поставил null, вернул на место старую базу, работает. Осталось допилить мелочи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 23 декабря, 2015 Автор Поделиться Опубликовано 23 декабря, 2015 Да, забыл, инсталятор использует устаревшую команду для создания баз, при исталяци возникает ошибка, надо в mysql_install строку return preg_replace( "#\);$#", ") TYPE=".$table_type." /*!40100 DEFAULT CHARACTER SET ".$codepage." */;", $query ); заменить на return preg_replace( "#\);$#", ") ENGINE=".$table_type." /*!40100 DEFAULT CHARACTER SET ".$codepage." */;", $query ); (TYPE заменить на ENGINE) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
vovchik Опубликовано 11 января, 2016 Поделиться Опубликовано 11 января, 2016 В 23.12.2015 в 11:38, point111 сказал: Огромное спасибо. Поставил null, вернул на место старую базу, работает. Осталось допилить мелочи. Ну как у тебя дела? Получилось избавится от проблемы? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
point111 Опубликовано 12 января, 2016 Автор Поделиться Опубликовано 12 января, 2016 Да, всё работает, вирусняк не возвращается - тфу тфу тфу. Никаких старых файлов форума не оставлял, всё снес, изменил все пароли на хостинге включая почту на которую приходили уведомления от хостера. Пароли админов форума сразу после запуска базы поменял. Когда возвращал файлы загруженные пользователями, то удалил всё кроме картинок. При возврате своего стиля также вернул только графические файлы. WordPress подозреваемый в дырявости пока не устанавливал. И в сомненьях ставить ли его вообще, может надо подумать о каком нибудь другом движке. Respected 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.