Взломали аккаунт администратора

Стоит 3.8.1 лицензия.

Все было нормально.

Но вот на днях захожу ответить на сообщение пользователя от имени админа - и тут бац, при отправке любого сообщения в заголовке появляется автоматом длинная внешняя ссылка на адрес каких-то там рекламных промокодов.

Также при попытке отредактировать любое сообщение - тоже прописывается ссылка.

Зашел от имени модератора или от другого пользователя все гуд.

Приходится, пока, писать сообщение - потом заходить повторно и редактировать модером, дабы убрать ссылку. Админ стоял на id 1. Я снял все права админа с этой учетки.

Создал нового пользователя и назначил его админом.

Также прописал новый id в конфигурационном файле. Где искать?

или скажем пересоздать пользователя с таким же id, чтобы все осталось также? как это лучше сделать?

Yurok800:

Также при попытке отредактировать любое сообщение - тоже прописывается ссылка. Зашел от имени модератора или от другого пользователя все гуд.

вопрос: под админом и под юзером заходите с одного и того же браузера?

Yurok800:

Где искать?

я бы посоветовала начать, всё таки, с антивируса на собственном компе уж очень экзотично и нелогично это для взлома смотрите лог действий админки посмотрите список модулей, есть ли что-то, что висит на vBulletin

Yurok800:

Я снял все права админа с этой учетки. Создал нового пользователя и назначил его админом.

именно в таком порядке? сколько администраторов на форуме?

Льюви:

вопрос: под админом и под юзером заходите с одного и того же браузера?

с одного и того же браузера, мозилла

Льюви:

я бы посоветовала начать, всё таки, с антивируса на собственном компе

стоит AVG интернет секьюрити

Льюви:

посмотрите список модулей, есть ли что-то, что висит на vBulletin

Льюви:

именно в таком порядке?

это примерный ход действий, сменил, все норм прошло

Льюви:

сколько администраторов на форуме?

1-го оставил, того что создал под id отличного от id 1

Льюви:

смотрите лог действий админки

лог пересмотрел весь - только мой ip там фигурирует
пробовал глобально отключить все модули - безрезультатно

что самое интересно - через админку joomla 2.5 тоже самое в начале нового материала. Стоит jfusion - синхронизация пользователей. Добавлено через 32 секунды связка joomla 2.5 + vb 3.8.1

Причина найдена! Банальное расширение для мозиллы, хрома, которое установилось несанкционированно, как вирус непонятно как.

Yurok800:

Банальное расширение для мозиллы, хрома, которое установилось несанкционированно

В принципе я и предполагал именно эту причину Хотел посоветовать попробовать другие браузеры, или другой компьютер. Как сказала Льюви, все это не похоже на взлом.

Расскажу в тему одну историю.

Когда-то давно, когда активно общался на серче, в одной из тем увидел пост одного из авторитетных пользователей, и внизу почти как подпись ссылка, типа "посмотри как это интересно". И ссылка так оказалась в тему, что без задней мысли я по ней перешел и увидел картинку.

Картинка: дорога заброшенная какая-то, и вся дорога усеяна пустыми пивными банками.

Ерунда какая-то, подумал я и закрыл страницу. Прошло некоторое время.

Не сразу.

У меня в постах на форуме, в отправленные письма почты, в сообщения аськи, стала добавляться аналогичная ссылка Ни один антивирус не определил, что это вирус.

Пробовал НОД, Касперского, AVG, Авиру.

Без толку.

Пришлось принять радикальные меры

Yurok800:

Причина найдена!

ну и замечательно на будущее: Вы показали список установленных продуктов это админка - продукты и модули - управление продуктами а я просила посмотреть список модулей это админка - продукты и модули - управление модулями верхние в списке всегда модули, висящие прямо на vBulletin, без продукта, там так и написано "Продукт : vBulletin" большинство хакерских модулей болтается именно так, без продукта