Langly 7 Опубликовано: 18 октября 2010 Рассказать Опубликовано: 18 октября 2010 смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. У меня была хрень. Время от времени появлялся код на одном из сайтов. Стоял 8.3+форум дле В один прекрасный момент, во всех новостях появилось по две ссылки на скрипт который подгружал кучу кликандеров и переадресовок. Полез в базу, там прям в базу были вставки во все новости. Прочистил базу, снес форум, обновил до 9.0, нашел "АДМИНА" у которого была одна единственная новость на модерации, причем без всех остальных атрибутов, то есть просто залита в таблицу шорт стори. Там стоял символ вроде S или $ снес все, удалил юзера. Сразу сдох сайт, потому что с этими действиями удалился файл конфиг DB. Написал этот файл вручную, поменял все пароли, заработало. Сижу, пока все тихо :-))) Вот такие баталии бывают. Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 (изменено) Здравствуйте. Залили код. Остался вот здесь: _http://www.maxset.net/user/adminicerv/ Полное имя: Albert <br /> Дата регистрации: 15 марта 2009 10:05 <br /> Последнее посещение: 6 декабря 2009 18:23 <br /> Группа: ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД Посетители ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД С ТАКИМ АДРЕСОМ: _http://clickclickclick.asia/js/if.php?id=6727_ БЫЛ НАТЫКАН ПО ВСЕМУ САЙТУ <br /> Место жительства: <br /> Номер ICQ: <br /> Немного о себе: не могу сообразить в каком это файле, в шаблоне или в дле файлах? Присутствует не у всех user, пока смотрю только у тех которых нашел гугл, что заменить что бы исключить это, не удалять же всех. Помогите пожалуйста. Изменено 21 октября 2010 пользователем oldset Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули. Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули. Стандартные процедуры конечно были проделаны. Вопрос? В каком файле содержится это инфа о user. Общий шаблон! Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Информация о пользователе хранится в базе данных, сам файл шаблона - userinfo.tpl, файл дистрибутива - userfields.php в папке engine/inc/. Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Прошу прощения. По видимому не правильно задаю вопрос. Код прописан тут: Группа: {status} В группе Посетители, в остальных пока не замечен. Это значит заражена база данных или ещё где то в письменном файле может быть? {status} - где это? Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Удалите просто этого пользователя из админки. Информация о нем удалится и из базы данных. Больше информация о пользователе нигде не хранится. {status} - engine/modules/profile.php Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Код у всей группы - Посетители. Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim Искать в исходном коде домен: _clickclickclick.asia там всё видно. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 oldset, в таком случае делайте бекап БД, удаляйте из бекапа, потом восстанавливайте исправленный бекап Цитата Ссылка на сообщение Поделиться на других сайтах
demon165 8 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Код у всей группы - Посетители. Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim Искать в исходном коде домен: _clickclickclick.asia там всё видно. смотри шаблон userinfo.tpl ну и сам файл профиля в папке модулей Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 userinfo.tpl и иже с ним - чисты. Полезу в БД. После расскажу. Цитата Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Проблема решена. А было вот что, каким то образом этот поганый код поставили в редактировании группы Посетители в окошки: Префикс имени группы И Суффикс имени группы. Вроде пока всё. Но как говорят нет худа без добра... Обновил: phpMyAdmin-3.3.7 php-5.2.14 mysql-5.1.51 и сделаны полные бэкапы. Всем Спасибо, за помощь. Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 22 октября 2010 Рассказать Опубликовано: 22 октября 2010 Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.Что это за уязвимость, для каких версий РМА и где это можно прочитать подробней? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 октября 2010 Рассказать Опубликовано: 22 октября 2010 Danila, http://www.phpmyadmin.net/home_page/security/ Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.