Нас опять хотят взломать!

[Xpert]

Предварительно сохранив config.php и images/avatars (ну и /smiles, если туда что-то ставили).

А вот последнее, т.е. сохранять папки в случае если был взлом и нет навыков прощупывания файлов в этих папках на вредоносное содержимое, я бы не рекомендовал. Хотя для обычного обновления рекомендация верная.

E34
Внимательно смотрим код страницы, с которой нас перебрасывает на сайт взломщика и видим там:

Код: Выделить всё

	<td class="row1" width="100%" height="50"><span class="forumlink"> <a href="viewforum.php?f=10" class="forumlink"><META HTTP-EQUIV="refresh" CONTENT="0;URL=  http://www.turkiyecs.com/hacked/tarantula/tarantula.htm"></a><br />
	  </span> <span class="genmed"><META HTTP-EQUIV="refresh" CONTENT="0;URL=  http://www.turkiyecs.com/hacked/tarantula/tarantula.htm"><br />
	  </span><span class="gensmall">&nbsp; &nbsp;</span></td>

Ищите в админке новые форумы...

[E34]

простое копирование решит

Да. Предварительно сохранив config.php и images/avatars (ну и /smiles, если туда что-то ставили). После перезаливки подсунуть сохраненное и прогнать install/update_to_latest.php (чтоб конфигурацию базы подтянуть).

Все так и сделал... НО! Ни чего не изменилось Эта же заставка вылетает снова. Хэлп!!!

Добавлено спустя 10 минут 58 секунд:

E34
Внимательно смотрим код страницы, с которой нас перебрасывает на сайт взломщика и видим там:

Код: Выделить всё

	<td class="row1" width="100%" height="50"><span class="forumlink"> <a href="viewforum.php?f=10" class="forumlink"><META HTTP-EQUIV="refresh" CONTENT="0;URL=  http://www.turkiyecs.com/hacked/tarantula/tarantula.htm"></a><br />
	  </span> <span class="genmed"><META HTTP-EQUIV="refresh" CONTENT="0;URL=  http://www.turkiyecs.com/hacked/tarantula/tarantula.htm"><br />
	  </span><span class="gensmall">&nbsp; &nbsp;</span></td>

Ищите в админке новые форумы...

Это как?
Посмотрел сейчас через панель управления - новых баз нету. Просмотрел еще раз файлы и папки на сайте - ничего неучтенного не обнаружил.
Блин, как же так?

[/DiOs]

Эта же заставка вылетает снова

Сразу же? Т.е сразу после заливки на пустое место новых файлов и выполнения intall/update... ? До подсовывания аватар и просмотра хотя бы одного топика? Тогда, логически размышляя, все дело может быть только внутри БД. Форум с forum_id 10 существует (***forums.forum_id)? Вы его создавали? Новые стили не появились?

[E34]

Эта же заставка вылетает снова

Сразу же? Т.е сразу после заливки на пустое место новых файлов и выполнения intall/update... ? До подсовывания аватар и просмотра хотя бы одного топика? Тогда, логически размышляя, все дело может быть только внутри БД. Форум с forum_id 10 существует (***forums.forum_id)? Вы его создавали? Новые стили не появились?

После того как я сделал заливку и инстал решил проверить работу форума. Проверил и увидел то что и было
Кстати, а вот смайлики я залил перед этой процедурой...

Добавлено спустя 1 час 22 минуты 3 секунды:

А вот если на заглавную старницу не заходить, то форум продолжает работать
http://www.gvcvolley.ru/forum/viewforum.php?f=2

[/DiOs]

А вот если на заглавную старницу не заходить, то форум продолжает работать

Коллега, я вас спрашиваю про десятый форум, а не про второй! Зайдите в БД и изничтожьте его!

[E34]

А вот если на заглавную старницу не заходить, то форум продолжает работать

Коллега, я вас спрашиваю про десятый форум, а не про второй! Зайдите в БД и изничтожьте его!

Тьфу, блин. Вот как плохо быть чайничком
Все сделал как Вы сказали. Прибил этот левый форум. Все теперь ОКи!!!
Сенкс!!!

Но как избежать дальнейших косяков? Как дальше жить...

[edgar]

Как дальше жить...

долго и счастливо

[/DiOs]

Как дальше жить...

Как кричал гинеколог на весь коридор вослед моей супруге, родившей нашу младшенькую в 40 лет, "Предохраняйтесь!!!"

Последние версии, чтение форума и своевременные обновления (или рекомендуемые воркэраунды) -- что еще предложишь?

Добавлено спустя 2 минуты 5 секунд:

Все теперь ОКи!!!

Кстати, не надо быть столь самонадеянным А слова Xpert забыли? Проверяем картиночки на всхожесть, если были загруженные не вами.

Добавлено спустя 36 секунд:

Да, и отсутствие "лишних" стилей проверили?

[E34]

Кстати о стилях. Когда сносил старый форум, то один так и не удалился. Называется alexisBlue. При попытке его удаления бросает в корень с текстом: does not exist or could not be selected, so the root directory / is shown instead.
Вот.

[VovikV]

Странно вы чистите. Сносить так все...
На некоторых хостингах файлы могут не удалятся через фтп, если они были созданы скриптами. Удалять соответственно нужно через панель управления файлами от хостинга, но у некоторых и она мочемуто не меет такого доступа как скрипты, тогда скриптами.

[MNK]

На некоторых хостингах файлы могут не удалятся через фтп, если они были созданы скриптами. Удалять соответственно нужно через панель управления файлами от хостинга, но у некоторых и она мочемуто не меет такого доступа как скрипты, тогда скриптами.

Было у меня нечто похожее. Некоторые скрипты создают свои хитрые файлики, которые хрен удаляються. А происходит это потому, что в качестве владельца прописывается не пользователь а, например, httpd! Пришлось напрягать саппорт хостера

[Black_SN]

Есть какое-нибудь решение этой проблемы:

phpBB <= 2.0.21 (Poison NULL Byte) Remote Exploit ???

Искал на офсайте и здесь, ничего не нашел...

[/DiOs]

Black_SN
Запретить загрузку аватар, к примеру. Это еще для .19 обсуждалось (если не ранее).

[azov]

postav` zashitu .htaccess

[Black_SN]

Обсуждатся, может и обсуждалось, а где же решение? При включенной загрузке аватар на сервер, получается можно взломать любой форум на движке phpBB...