Langly 7 Опубликовано: 18 октября 2010 Рассказать Опубликовано: 18 октября 2010 смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл. У меня была хрень. Время от времени появлялся код на одном из сайтов. Стоял 8.3+форум дле В один прекрасный момент, во всех новостях появилось по две ссылки на скрипт который подгружал кучу кликандеров и переадресовок. Полез в базу, там прям в базу были вставки во все новости. Прочистил базу, снес форум, обновил до 9.0, нашел "АДМИНА" у которого была одна единственная новость на модерации, причем без всех остальных атрибутов, то есть просто залита в таблицу шорт стори. Там стоял символ вроде S или $ снес все, удалил юзера. Сразу сдох сайт, потому что с этими действиями удалился файл конфиг DB. Написал этот файл вручную, поменял все пароли, заработало. Сижу, пока все тихо :-))) Вот такие баталии бывают. Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Здравствуйте. Залили код. Остался вот здесь: _http://www.maxset.net/user/adminicerv/ Полное имя: Albert <br /> Дата регистрации: 15 марта 2009 10:05 <br /> Последнее посещение: 6 декабря 2009 18:23 <br /> Группа: ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД Посетители ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД С ТАКИМ АДРЕСОМ: _http://clickclickclick.asia/js/if.php?id=6727_ БЫЛ НАТЫКАН ПО ВСЕМУ САЙТУ <br /> Место жительства: <br /> Номер ICQ: <br /> Немного о себе: не могу сообразить в каком это файле, в шаблоне или в дле файлах? Присутствует не у всех user, пока смотрю только у тех которых нашел гугл, что заменить что бы исключить это, не удалять же всех. Помогите пожалуйста. Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули. Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули. Стандартные процедуры конечно были проделаны. Вопрос? В каком файле содержится это инфа о user. Общий шаблон! Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Информация о пользователе хранится в базе данных, сам файл шаблона - userinfo.tpl, файл дистрибутива - userfields.php в папке engine/inc/. Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Прошу прощения. По видимому не правильно задаю вопрос. Код прописан тут: Группа: {status} В группе Посетители, в остальных пока не замечен. Это значит заражена база данных или ещё где то в письменном файле может быть? {status} - где это? Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Удалите просто этого пользователя из админки. Информация о нем удалится и из базы данных. Больше информация о пользователе нигде не хранится. {status} - engine/modules/profile.php Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Код у всей группы - Посетители. Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim Искать в исходном коде домен: _clickclickclick.asia там всё видно. Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 oldset, в таком случае делайте бекап БД, удаляйте из бекапа, потом восстанавливайте исправленный бекап Ссылка на сообщение Поделиться на других сайтах
demon165 8 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Код у всей группы - Посетители. Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim Искать в исходном коде домен: _clickclickclick.asia там всё видно. смотри шаблон userinfo.tpl ну и сам файл профиля в папке модулей Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 userinfo.tpl и иже с ним - чисты. Полезу в БД. После расскажу. Ссылка на сообщение Поделиться на других сайтах
oldset 0 Опубликовано: 21 октября 2010 Рассказать Опубликовано: 21 октября 2010 Проблема решена. А было вот что, каким то образом этот поганый код поставили в редактировании группы Посетители в окошки: Префикс имени группы И Суффикс имени группы. Вроде пока всё. Но как говорят нет худа без добра... Обновил: phpMyAdmin-3.3.7 php-5.2.14 mysql-5.1.51 и сделаны полные бэкапы. Всем Спасибо, за помощь. Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 22 октября 2010 Рассказать Опубликовано: 22 октября 2010 Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.Что это за уязвимость, для каких версий РМА и где это можно прочитать подробней? Ссылка на сообщение Поделиться на других сайтах
celsoft 6230 Опубликовано: 22 октября 2010 Рассказать Опубликовано: 22 октября 2010 Danila, http://www.phpmyadmin.net/home_page/security/ Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.