Вопрос Вирусы на форуме

aKsI · 12.02.2012, 14:50 **Вверх**

Здравствуйте. Очень нужна помощь по Vbulletin 4.1.10.
Вообщем произошло следующее:
Захожу сегодня на свой форум мой каспер 2012 выдаёт следующее:

Смотрю отчёты по поводу этого троянца вот что:

И первое окно выходит при переходе на любую страницу форума.

И ещё - обнаружил в корне следующий php файл vb.php, с сегодняшней датой изменения/создания:
http://zalil.ru/32691526

На данный момент:
1. файл vb.php удалил с форума.
2. Каспер ругаться на троян перестал, но всё же как избежать этого?

Serberg · 12.02.2012, 14:58 **Вверх**

aKsI, походу тебя хакнули )
Либо в движке дырка, либо одно из двух. Ты дистрибутив скрипта где качал ?

aKsI · 12.02.2012, 15:04 **Вверх**

Сообщение от Serberg

aKsI, походу тебя хакнули )
Либо в движке дырка, либо одно из двух. Ты дистрибутив скрипта где качал ?

У вас. Тут где то ссылка. Сейчас попробую найти
_____________
Вот нашёл:
http://www.bormotuhi.net/showthread.php?t=15005

Где и куда копать то хоть?

Serberg · 12.02.2012, 15:13 **Вверх**

Сообщение от aKsI

У вас. Тут где то ссылка. Сейчас попробую найти

Значит где то дыра у тебя, если файл залили.

aKsI · 12.02.2012, 15:18 **Вверх**

Сообщение от Serberg

Значит где то дыра у тебя, если файл залили.

А как то можно отследить?

Может быть какие то модули дырявые. Стоит следующее:

Код:

1. Guest Tracking	4.1.0	Отслеживание количества гостей на форуме (Перевод: Romchik® v.1.21)
2. Prevent Double Posts	4.0.1	Предотвращает двойные сообщения, идущие подряд, путем их объединения с предыдущим (Перевод: Romchik® v.1.02)
3. Separate Sticky and Normal Threads	4.0.0	Separate Sticky and Normal Threads
4. Skimlinks Plugin	4.1.10	Official Skimlinks plugin for vBulletin
5. vBSEO :: Sitemap Generator	3.0	Generate a Google & Bing Sitemap for your Forums
6. VSa - Advanced Registration	2.0.1	VSa - Продвинутая регистрация (Перевод: Romchik® - v.1.03)
7. Who Downloaded	2.0.1	Created By VisionScripts (www.visionscripts.com)
8. Система Благодарностей за сообщения	7.82	Перевод осуществил "FintMax" Версия 1.0

И vb.php и вирус же не связаны, так как файлик делает рассылку всего лишь.
Или я ошибаюсь.
Где бы найти подгрузку вот этого адреса который на втором скрине отображен

Serberg · 12.02.2012, 15:31 **Вверх**

Сообщение от aKsI

А как то можно отследить?

По логам сервера можно отследить, при их наличии и наличии желания это сделать.

Snickers777 · 12.02.2012, 15:33 **Вверх**

В твоей версии форума дыра.Вот смотри,я выкладывал её на vbsupport
Но вроде как не фатальная там можно только путь посмотреть ко всему.
http://vbsupport.org/forum/showthread.php?t=43147

Либо тебя взломали,либо в самом движке изначально был вирус,
либо хостинг дырявый у тебя.4.1.10 финал версия.Как же её нахываливали.

aKsI · 12.02.2012, 15:42 **Вверх**

Сообщение от Snickers777

В твоей версии форума дыра.
Вот смотри,я выкладывал её на vbsupport
http://vbsupport.org/forum/showthread.php?t=43147

Либо тебя взломали через неё,либо в самом движке изначально был вирус,
либо хостинг дырявый у тебя.4.1.10 финал версия.Как же её нахываливали.
А я так и знал,что опять лыра будет.Остался на 4.1.7 PL2.Проблем не вижу.

Вот смотри. Или я что то не так понял, или это не работает, но при попытке:
http://sait.ru/forumdisplay.php?do[]=linc0ln.dll
http://sait.ru/calendar.php?do[]=linc0ln.dll
Бьёт:

Код:

Форум не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией

и

Код:

Событие не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией

А при попытке открыть:
http://sait.ru/search.php?do[]=linc0ln.dll
Выбивает пустую страницу(белый экран)

Snickers777 · 12.02.2012, 15:49 **Вверх**

Сообщение от aKsI

Вот смотри. Или я что то не так понял, или это не работает, но при попытке:
http://sait.ru/forumdisplay.php?do[]=linc0ln.dll
http://sait.ru/calendar.php?do[]=linc0ln.dll
Бьёт:

Код:

Форум не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией

и

Код:

Событие не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией

А при попытке открыть:
http://sait.ru/search.php?do[]=linc0ln.dll
Выбивает пустую страницу(белый экран)

Ступил,извиняюсь.
Через это можно только посмотреть полный путь.
Выключается в php

aKsI · 12.02.2012, 16:27 **Вверх**

Нашёл в логах вот такие записи:

Код:

85.26.235.21 - - [12/Feb/2012:13:11:15 +0300] "POST /vbulletin.php HTTP/1.0" 200 89491 "http://sait.ru/vbulletin.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.46 Safari/535.11"
85.26.235.21 - - [12/Feb/2012:13:11:21 +0300] "GET /vb.php HTTP/1.0" 200 748 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.46 Safari/535.11"
85.26.235.21 - - [12/Feb/2012:13:11:23 +0300] "GET /vb.php?mail=1 HTTP/1.0" 200 1607 "http://sait.ru/vb.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.46 Safari/535.11"

sait.ru - имя моего форума.
Это первое упоминание vb.php в логах.
И вообще у данного ip активность подозрительная

Serberg · 12.02.2012, 16:30 **Вверх**

aKsI, это обращение на файл. Его же как то еще и залили.

aKsI · 12.02.2012, 16:48 **Вверх**

Сообщение от Serberg

aKsI, это обращение на файл. Его же как то еще и залили.

Да понятно, что обращение.
В том то и дело что это первое упоминание этого скрипта.
Файлик то хрен с ним, как вирь прицепился ко всем страницам.
Я так понимаю, где то был внедрён код для загрузки какого либо скрипта. Но вроде всё пересмотрел на дату изменения.