Взломали форум phpBB 2.0.21, нужна помощь восстановить!

[Hatch]

Уважаемые гуру, вчера был взломан мой форум( турецкими хакерами.
Сначала они переименовали учетки администраторов форума, но я вернул аккаунты из SQL, поменял пароли. Но вот сегодня с утра заметил еще одну "свинью":
при обращении к главной странице форума, происходит редирект на: http://www.turkattackers.org/indexler/SyST3M71.html, где искать злобный код?? Как найти причину, уязвимость с помощью которой был взломан форум? Помогите пожалуйста разобраться в возникщей ситуации! Заранее очень признателен!

URL форума: http://k-orda.kz/forum

[rxu]

Как найти причину, уязвимость с помощью которой был взломан форум?

Смотрите серверные логи.

где искать злобный код?

Если только на главной, то смотрите index_body.tpl, index.php.

И обновитесь до 2.0.22.

[Hatch]

Большое спасибо, что не прошли стороной!
Сейчас проверю шаблон, index.php уже проверял, ничего постороннего не найдено. + Обязательно обновлюсь, как исправлю ошибку. +1 всплывает вопрос, не возниклет ли проблем при обновлении из-за кучи установленных модов на моем форуме?

Добавлено спустя 13 минут 28 секунд:

Вот листинги index.php и index_body.tpl, ничего подозрительного не вижу:

Подскажите, где еще может быть подвох.

[rxu]

Впредь пользуйтесь аттачментами, в следующий раз за вас этого делать никто не будет.

Добавлено спустя 8 минут 23 секунды:

У вас база взломана, видимо. Мета тег подставляется вместо названия первой категории.

<tr>
<td class="catLeft" colspan="2" height="28"><span class="cattitle"><a href="index.php?c=1&sid=495bb11aa60cc84faffdc4641c8df8d5" class="cattitle"><meta http-equiv="refresh" content="1;URL=http://www.turkattackers.org/indexler/S ... /span></td>
<td class="rowpic" colspan="3" align="right">&nbsp;</td>
</tr>

[Balamut]

Код: Выделить всё

  <tr>
	<td class="catLeft" colspan="2" height="28"><span class="cattitle"><a href="index.php?c=1" class="cattitle">Основной раздел</a></span></td>
	<td class="rowpic" colspan="3" align="right">&nbsp;</td>
  </tr>

против

Код: Выделить всё

  <tr>
	<td class="catLeft" colspan="2" height="28"><span class="cattitle"><a href="index.php?c=1&sid=7d0db075f0e70578b1e43fede28a701c" class="cattitle"><meta http-equiv="refresh" content="1;URL=http://www.turkattackers.org/indexler/SyST3M71.html"></a></span></td>
	<td class="rowpic" colspan="3" align="right">&nbsp;</td>
  </tr>

допускаю, проблема в админке. или базе. что одно и то же.

[Андрей Гарант]

а у меня на форуме с сегодняшнго дня стало появляться вверху это:

Warning: Cannot modify header information - headers already sent by (output started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in /www/kupluaut/www/htdocs/forum/includes/sessions.php on line 254

Warning: Cannot modify header information - headers already sent by (output started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in /www/kupluaut/www/htdocs/forum/includes/sessions.php on line 255

Warning: Cannot modify header information - headers already sent by (output started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in /www/kupluaut/www/htdocs/forum/includes/page_header.php on line 494

Warning: Cannot modify header information - headers already sent by (output started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in /www/kupluaut/www/htdocs/forum/includes/page_header.php on line 496

Warning: Cannot modify header information - headers already sent by (output started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in /www/kupluaut/www/htdocs/forum/includes/page_header.php on line 497

что делать?

[rxu]

что делать?

Удалить пробелы/строки после ?> в auth.php или просто перезалить его. И почаще пользуйтесь поиском.

[Андрей Гарант]

не ругайтесь на чайников..

скажите что надо удалить..перезалил, не помогло...

Alek$: портянку удалил, ибо сильно портила удобочитаемость топика

[Палыч]

Всё, что после этого

?>

"чужеродное"
Читать совсем не можем?

Удалить пробелы/строки после ?> в auth.php

[Андрей Гарант]

ну не понимаю я ....что здесь "чужеродное"..не могли бы вы быть тк добры и выделить????

Добавлено спустя 1 час 10 минут 1 секунду:

что-то я наисправлял...теперь форум вообще не запускается...
пишет
Parse error: parse error, unexpected T_FUNCTION in /www/kupluaut/www/htdocs/forum/includes/sessions.php on line 26

Добавлено спустя 2 часа 2 минуты 19 секунд:

в данный момент пишет
Warning: Cannot modify header information - headers already sent by (output
started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in
/www/kupluaut/www/htdocs/forum/includes/sessions.php on line 254

Warning: Cannot modify header information - headers already sent by (output
started at /www/kupluaut/www/htdocs/forum/includes/auth.php:328) in
/www/kupluaut/www/htdocs/forum/includes/sessions.php on line 255

Parse error: parse error, unexpected T_IF in
/www/kupluaut/www/htdocs/forum/includes/page_header.php on line 22

открывал эти файлы, но с моим уровнем знаний ничего подозрительного найти не удалось..помогите плизз

[incubus]

Сочувствую Hatch конечно, но меня позабавили копирайты в футере "Защищено CBACK CrackerTracker" ))

Андрей Гарант
Перед тем как что-то исправлять, нужно делать копию этих файлов, чтобы потом можно было всегда вернуть обратно. Не понимаю, как этот лишний код мог самостоятельно туда попасть, троян разве что..

[Андрей Гарант]

incubus
какой код?????? что надо исправить?

[incubus]

помогите плизз

в файле auth.php в самом низу, после значка ?> уберите этот код:

Код: Выделить всё

<script>
код...
код...
код...
</script>

После ?> ничего не должно быть прописано. Читайте внимательно, что Вам пишут.

[Андрей Гарант]

аааа, пасибо....теперь понял..

Добавлено спустя 2 минуты 57 секунд:

Parse error: parse error, unexpected T_IF in /www/kupluaut/www/htdocs/forum/includes/page_header.php on line 22

а здесь чего??? 22 строка вообще пустая....

[Alek$]

Андрей Гарант
покажите 18-26 строки из page_header.php