XF 1.5 Взлом форума

[nck-log]

Всем привет, взломали форум.
На главной странице только надпись i'm sorry:(

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

взломщика/
Как как убрать это г? ....

 

[Qua]

Всем привет, взломали форум.
На главной странице только надпись i'm sorry:(

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

взломщика/
Как как убрать это г? ....

Ссылка не действительная.
Что конкретно убрать?

 

[Skaiman]

Зайди в админку

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, по поиску в шаблонах найди или в модификациях, что скорее всего, модификация PAGE_CONTAINER

Ссылка не действительная.

:) да там и нет ее

Стандартная ситуация, всем подряд раздаешь админов, потом возникают непонятки и начинаются подлянки :) Детвора.

 

[Mirovinger]

Линк на форум хотя-бы, а так как выше написали, если это реально взлом, больше на угон данных похоже, если адмику не раздавали.

 

[nck-log]

админку не раздавал, он весь форум слил. ( видать через какой то плагин.

 

[Mirovinger]

Прежде чем так утверждать, нужно смотреть логи сервера.
А так, список дополнений, если так уверены.

 

[RAPAX]

Ну да... доверил Админку, а тот переадресацию захреначил. Когда был Админом в 11 лет так же делал :D на давал админок, а потом гадай кто из них слил...

 

[nck-log]

я уверен на 100 % так как он ссылку указал на слитый дамп моего форума (
да дополнений установлена куча (будет мне уроком).
Сначала просто лежал index.html с его надписью , вчера его удалил а сегодня опять те же надписи , index.html нет.

дополнения

Ad Manager
All Rich Usernames
Anonymizer/URL Redirector by xenCODE
Brivium - Metadata Essential
Brivium - Modern Statistics
Chat
Conversation Button under Avatar
Conversation Essentials
Easy ban users
Esthetic Collaborative Shopping
Esthetic Extended BB-Codes
Esthetic Private Discussions
Forum Moderators
New Thread Button In Thread
Post Ratings
ragtek Prevent Admin Post Editing
Separate Sticky and Normal Threads (Перевод: XF-Russia [Romchik®])
Show Similar Threads On Thread Creation
sonnb - Bulk importer for smilies management
Special Avatar for Banned Members
Statistics
Sticky First Post
Tab Alerts
Unread Post Count
Weekly Digest
Who Has Visited 24 Hours
XenForo Resource Manager
XFA - Bump Thread
[AD] Credits: Core
[AD] UI.X
[bd] Rotating Ads
[Exile] Цветные заголовки тем
[SVG]Дополнения для TaigaChat PRO
[SVG]Кнопки социальных сетей
[VietXF] Custom Node Icon
[WMTech] - Sticky Multiple Account Info
[XenMods] Multi Prefix
[xfr] Board Notices
Платное повышение прав API Free-Kassa и Robokassa
Система репутации специально для XenForo.info от mmo-develop.ru

 

[Mirovinger]

Вообще, я писал про Вашу уверенность , что взлом через дополнение, если дополнения качались у нас, то вероятность мала, была уязвимость в XenAPI, но у Вас не видно.
Тут был уже слив форума, человек тоже утверждал, что через дополнения.
Но после изучения логов, оказалось что через уязвимость в софте на сервере.

 

[wilder123]

Без изучения логов, как форума, так и сервера - все предположения не более чем гадание на кофейной гуще.

 

[ArtAndHouse]

nck-log, Для начала проверьте свой компьютер на вирусное ПО.

 

[nck-log]

Всем привет, опять ломанули , поставили переадресацию на свой форум.
в логе форума есть вот такая херь

в логе

51.254.159.173 - - [08/Aug/2016:06:25:23 +0300] "GET /redirect/?url=phpinfo() HTTP/1.0" 302 211 "-" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"
104.167.221.207 - - [08/Aug/2016:06:25:30 +0300] "GET /redirect/?url=phpinfo() HTTP/1.0" 302 211 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
107.172.195.51 - - [08/Aug/2016:06:26:32 +0300] "GET /redirect/?url=phpinfo() HTTP/1.0" 302 211 "http://ТУТ АДРЕС МОЕГО ФОРУМА/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.3.4000 Chrome/30.0.1599.101 Safari/537.36"

На компе чисто вирусов нет.

 

[Mirovinger]

Логи сервера?
Или у Вас хостинг?
Если ВПС, то обновляется ли софт?

 

[nck-log]

VPS , да обновлялся недавно. Логи сервера сейчас посмотрю.

Вроде бы в норме, ни чего не понимаю

 

[Exile]

/redirect/?url=

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Это не стандартный адрес для XenForo.

Какие-то дополнения редиректа есть?

 

[nck-log]

Есть Вот это дополнение Anonymizer/URL Redirector by xenCODE ver / 1.1.3

опять зашел исправил мой index.php
Гляньте лог пожалуста

 

[Mirovinger]

Просьба лог загружать во вложение, а не под спойлер, почти 4000 строк, у людей может и страница не открыться.

 

[Валера19]

23.94.161.124 - - [08/Aug/2016:16:18:25 +0300] "GET /redirect/?url=http://www.ciencias-marinas.uvigo.es/_oma_bd_intercambmaterial/phpinfo.php/rk=0/rs=5hiyi8qqd0pdk_hwnogjlolivuc-?a[]=<a href=http://vevin.tpesa.tw/redirect?link=http://Winnergreen.kr/board_UkvT19/377060>sitmap</a> HTTP/1.0" 200 9974 "http://мой сайт/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.4.600 Chrome/30.0.1599.101 Safari/537.36"
23.19.153.222 - - [08/Aug/2016:16:18:29 +0300] "GET /redirect/?url=http://wiki.idolsuki.in.th/index.php?title=Amazing_escort_agency_is_perfect_for_you2032667 HTTP/1.0" 200 9784 "http://мой сайт/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.4.600 Chrome/30.0.1599.101 Safari/537.36"

Надо отключить модуль редиректа и проанализировать все логи. Судя по представленной информации, идет многоуровневая вставка ссылок.

 

[tnAnGel]

Вы свой IP хотя бы скажите или каким User-Agent'ом пользуетесь. Очень много авторизаций, нужно отмести сначала все ваши, а потом уже искать

 

[DiWorm]

Если ВДСка, то еще как вариант воспользоваться

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, хуже явно не будет. Но такие вещи надо ставить на чистую систему после первых конфигов.