Перейти к публикации

Рекомендованные сообщения

смотрите файлы настроек в папке engine/data/ при перезаливке дистрибутива они не обновляются. Скорее всего он там у вас шелл.

У меня была хрень.

Время от времени появлялся код на одном из сайтов. Стоял 8.3+форум дле

В один прекрасный момент, во всех новостях появилось по две ссылки на скрипт который подгружал кучу кликандеров и переадресовок.

Полез в базу, там прям в базу были вставки во все новости.

Прочистил базу, снес форум, обновил до 9.0, нашел "АДМИНА" у которого была одна единственная новость на модерации, причем без всех остальных атрибутов, то есть просто залита в таблицу шорт стори. Там стоял символ вроде S или $ снес все, удалил юзера. Сразу сдох сайт, потому что с этими действиями удалился файл конфиг DB. Написал этот файл вручную, поменял все пароли, заработало. Сижу, пока все тихо :-)))

Вот такие баталии бывают.

Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте.

Залили код. Остался вот здесь:

_http://www.maxset.net/user/adminicerv/

Полное имя: Albert <br />

Дата регистрации: 15 марта 2009 10:05 <br />

Последнее посещение: 6 декабря 2009 18:23 <br />

Группа: ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД Посетители ТУТ КОД

ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД ТУТ КОД

С ТАКИМ АДРЕСОМ:

_http://clickclickclick.asia/js/if.php?id=6727_

БЫЛ НАТЫКАН ПО ВСЕМУ САЙТУ

<br />

Место жительства: <br />

Номер ICQ: <br />

Немного о себе:

не могу сообразить в каком это файле, в шаблоне или в дле файлах? Присутствует не у всех user, пока смотрю только у тех которых нашел гугл, что заменить что бы исключить это, не удалять же всех. Помогите пожалуйста.

Изменено пользователем oldset
Ссылка на сообщение
Поделиться на других сайтах

Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули.

Ссылка на сообщение
Поделиться на других сайтах

Антивирус запустите в админке, что он покажет. А вообще процедура стандартная: смена паролей, перезалив чистых файлов дистрибутива... Если есть, удалите сторонние модули.

Стандартные процедуры конечно были проделаны. Вопрос? В каком файле содержится это инфа о user. Общий шаблон!

Ссылка на сообщение
Поделиться на других сайтах

Информация о пользователе хранится в базе данных, сам файл шаблона - userinfo.tpl, файл дистрибутива - userfields.php в папке engine/inc/.

Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения. По видимому не правильно задаю вопрос.

Код прописан тут: Группа: {status}

В группе Посетители, в остальных пока не замечен. Это значит заражена база данных или ещё где то в письменном файле может быть? {status} - где это?

Ссылка на сообщение
Поделиться на других сайтах

Удалите просто этого пользователя из админки. Информация о нем удалится и из базы данных. Больше информация о пользователе нигде не хранится.

{status} - engine/modules/profile.php

Ссылка на сообщение
Поделиться на других сайтах

Код у всей группы - Посетители.

Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim

Искать в исходном коде домен: _clickclickclick.asia там всё видно.

Ссылка на сообщение
Поделиться на других сайтах

oldset,

в таком случае делайте бекап БД, удаляйте из бекапа, потом восстанавливайте исправленный бекап

Ссылка на сообщение
Поделиться на других сайтах

Код у всей группы - Посетители.

Пример: _http://www.maxset.net/user/minnim или _http://www.maxset.net/index.php?subaction=userinfo&user=minnim

Искать в исходном коде домен: _clickclickclick.asia там всё видно.

смотри шаблон userinfo.tpl ну и сам файл профиля в папке модулей

Ссылка на сообщение
Поделиться на других сайтах

Проблема решена. А было вот что, каким то образом этот поганый код поставили в редактировании группы Посетители в окошки: Префикс имени группы И Суффикс имени группы. Вроде пока всё. Но как говорят нет худа без добра...

Обновил: phpMyAdmin-3.3.7 php-5.2.14 mysql-5.1.51 и сделаны полные бэкапы. Всем Спасибо, за помощь.

Ссылка на сообщение
Поделиться на других сайтах

Вы ошибаетесь в сфере недавно найденной уязвимости для MyPHPAdmin там не нужен никакой доступ, можно было легко получать доступ над всем сервером, в том числе и заливать шеллы, при этом не нужно было иметь никаких доступов.

Что это за уязвимость, для каких версий РМА и где это можно прочитать подробней?
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...