Взломали аккаунт администратора

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
Стоит 3.8.1 лицензия. Все было нормально. Но вот на днях захожу ответить на сообщение пользователя от имени админа - и тут бац, при отправке любого сообщения в заголовке появляется автоматом длинная внешняя ссылка на адрес каких-то там рекламных промокодов... Также при попытке отредактировать любое сообщение - тоже прописывается ссылка. Зашел от имени модератора или от другого пользователя все гуд. Приходится, пока, писать сообщение - потом заходить повторно и редактировать модером, дабы убрать ссылку.
Админ стоял на id 1. Я снял все права админа с этой учетки. Создал нового пользователя и назначил его админом. Также прописал новый id в конфигурационном файле.
Где искать?
 

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
1-vb.jpg
2-vb.jpg
Вот такое вставляет
 

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
или скажем пересоздать пользователя с таким же id, чтобы все осталось также? как это лучше сделать?
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Также при попытке отредактировать любое сообщение - тоже прописывается ссылка. Зашел от имени модератора или от другого пользователя все гуд.
вопрос: под админом и под юзером заходите с одного и того же браузера?

я бы посоветовала начать, всё таки, с антивируса на собственном компе
уж очень экзотично и нелогично это для взлома

смотрите лог действий админки
посмотрите список модулей, есть ли что-то, что висит на vBulletin

Я снял все права админа с этой учетки. Создал нового пользователя и назначил его админом.
именно в таком порядке?
сколько администраторов на форуме?
 

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
вопрос: под админом и под юзером заходите с одного и того же браузера?
с одного и того же браузера, мозилла
я бы посоветовала начать, всё таки, с антивируса на собственном компе
стоит AVG интернет секьюрити

посмотрите список модулей, есть ли что-то, что висит на vBulletin

именно в таком порядке?
это примерный ход действий, сменил, все норм прошло
сколько администраторов на форуме?
1-го оставил, того что создал под id отличного от id 1

Добавлено через 8 минут
смотрите лог действий админки
лог пересмотрел весь - только мой ip там фигурирует

Добавлено через 10 минут
пробовал глобально отключить все модули - безрезультатно
 

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
что самое интересно - через админку joomla 2.5 тоже самое в начале нового материала. Стоит jfusion - синхронизация пользователей.

Добавлено через 32 секунды
связка joomla 2.5 + vb 3.8.1
 

Yurok800

Пользователь
Регистрация
22.11.13
Сообщения
44
Реакции
14
Баллы
3
Адрес
Украина
Причина найдена!
Банальное расширение для мозиллы, хрома, которое установилось несанкционированно, как вирус непонятно как.
08-05-2014 11-53-32.jpg
08-05-2014 11-51-54.jpg
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Банальное расширение для мозиллы, хрома, которое установилось несанкционированно

В принципе я и предполагал именно эту причину :)
Хотел посоветовать попробовать другие браузеры, или другой компьютер.
Как сказала Льюви, все это не похоже на взлом.

Расскажу в тему одну историю.
Когда-то давно, когда активно общался на серче, в одной из тем увидел пост одного из авторитетных пользователей, и внизу почти как подпись ссылка, типа "посмотри как это интересно". И ссылка так оказалась в тему, что без задней мысли я по ней перешел и увидел картинку. Картинка: дорога заброшенная какая-то, и вся дорога усеяна пустыми пивными банками. Ерунда какая-то, подумал я и закрыл страницу.
Прошло некоторое время. Не сразу. У меня в постах на форуме, в отправленные письма почты, в сообщения аськи, стала добавляться аналогичная ссылка :)
Ни один антивирус не определил, что это вирус. Пробовал НОД, Касперского, AVG, Авиру. Без толку. Пришлось принять радикальные меры :)
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Причина найдена!
ну и замечательно

на будущее: Вы показали список установленных продуктов
это админка - продукты и модули - управление продуктами
а я просила посмотреть список модулей
это админка - продукты и модули - управление модулями
верхние в списке всегда модули, висящие прямо на vBulletin, без продукта, там так и написано "Продукт : vBulletin"
большинство хакерских модулей болтается именно так, без продукта
 

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.876
Новый пользователь
pm1199
Сверху Снизу