Взломали аккаунт администратора

Y

Yurok800

#1
Стоит 3.8.1 лицензия. Все было нормально. Но вот на днях захожу ответить на сообщение пользователя от имени админа - и тут бац, при отправке любого сообщения в заголовке появляется автоматом длинная внешняя ссылка на адрес каких-то там рекламных промокодов... Также при попытке отредактировать любое сообщение - тоже прописывается ссылка. Зашел от имени модератора или от другого пользователя все гуд. Приходится, пока, писать сообщение - потом заходить повторно и редактировать модером, дабы убрать ссылку.
Админ стоял на id 1. Я снял все права админа с этой учетки. Создал нового пользователя и назначил его админом. Также прописал новый id в конфигурационном файле.
Где искать?
 
Y

Yurok800

#2


Вот такое вставляет
 
Y

Yurok800

#3
или скажем пересоздать пользователя с таким же id, чтобы все осталось также? как это лучше сделать?
 
Л

Льюви

#4
Yurok800 написал(а):
Также при попытке отредактировать любое сообщение - тоже прописывается ссылка. Зашел от имени модератора или от другого пользователя все гуд.
Нажмите для раскрытия...
вопрос: под админом и под юзером заходите с одного и того же браузера?

Yurok800 написал(а):
Где искать?
Нажмите для раскрытия...
я бы посоветовала начать, всё таки, с антивируса на собственном компе
уж очень экзотично и нелогично это для взлома

смотрите лог действий админки
посмотрите список модулей, есть ли что-то, что висит на vBulletin

Yurok800 написал(а):
Я снял все права админа с этой учетки. Создал нового пользователя и назначил его админом.
Нажмите для раскрытия...
именно в таком порядке?
сколько администраторов на форуме?
 
Y

Yurok800

#5
Льюви написал(а):
вопрос: под админом и под юзером заходите с одного и того же браузера?
Нажмите для раскрытия...
с одного и того же браузера, мозилла
Льюви написал(а):
я бы посоветовала начать, всё таки, с антивируса на собственном компе
Нажмите для раскрытия...
стоит AVG интернет секьюрити

Льюви написал(а):
посмотрите список модулей, есть ли что-то, что висит на vBulletin
Нажмите для раскрытия...

Льюви написал(а):
именно в таком порядке?
Нажмите для раскрытия...
это примерный ход действий, сменил, все норм прошло
Льюви написал(а):
сколько администраторов на форуме?
Нажмите для раскрытия...
1-го оставил, того что создал под id отличного от id 1

Добавлено через 8 минут
Льюви написал(а):
смотрите лог действий админки
Нажмите для раскрытия...
лог пересмотрел весь - только мой ip там фигурирует

Добавлено через 10 минут
пробовал глобально отключить все модули - безрезультатно
 
Y

Yurok800

#6
что самое интересно - через админку joomla 2.5 тоже самое в начале нового материала. Стоит jfusion - синхронизация пользователей.

Добавлено через 32 секунды
связка joomla 2.5 + vb 3.8.1
 
Y

Yurok800

#7
Причина найдена!
Банальное расширение для мозиллы, хрома, которое установилось несанкционированно, как вирус непонятно как.

 
W

Wmboard

#8
Yurok800 написал(а):
Банальное расширение для мозиллы, хрома, которое установилось несанкционированно
Нажмите для раскрытия...

В принципе я и предполагал именно эту причину :)
Хотел посоветовать попробовать другие браузеры, или другой компьютер.
Как сказала Льюви, все это не похоже на взлом.

Расскажу в тему одну историю.
Когда-то давно, когда активно общался на серче, в одной из тем увидел пост одного из авторитетных пользователей, и внизу почти как подпись ссылка, типа "посмотри как это интересно". И ссылка так оказалась в тему, что без задней мысли я по ней перешел и увидел картинку. Картинка: дорога заброшенная какая-то, и вся дорога усеяна пустыми пивными банками. Ерунда какая-то, подумал я и закрыл страницу.
Прошло некоторое время. Не сразу. У меня в постах на форуме, в отправленные письма почты, в сообщения аськи, стала добавляться аналогичная ссылка :)
Ни один антивирус не определил, что это вирус. Пробовал НОД, Касперского, AVG, Авиру. Без толку. Пришлось принять радикальные меры :)
 
Л

Льюви

#9
Yurok800 написал(а):
Причина найдена!
Нажмите для раскрытия...
ну и замечательно

на будущее: Вы показали список установленных продуктов
это админка - продукты и модули - управление продуктами
а я просила посмотреть список модулей
это админка - продукты и модули - управление модулями
верхние в списке всегда модули, висящие прямо на vBulletin, без продукта, там так и написано "Продукт : vBulletin"
большинство хакерских модулей болтается именно так, без продукта
 
Get involved!

Here you can only see a limited number of comments. On СЕО Форум Вебмастеров you see all comments and all functions are available to you. To the thread