My server was gekap, want ek het VBET.

Dit is die leidraad wat bevestig dit:

wortel 27.888 1 0 18:26? Ss 0:00 / usr / sbin / Exim-Mc 1OSBjj 0007Cf-4S SERVER_SIGNATURE = <address> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 bediener by www **** com Port 80 </ adres>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat Gewysig) SERVER_PORT = 80 nog iets nie duidelik = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / argief / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Hou-Alive REMOTE_PORT = 41.741 PATH = / bin: / usr / bin PWD = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-kas SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e FIPS-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD = HOOF _ = / usr / sbin / sendmail
w11s0s3r 27.996 27.888 1 18:26? D 0:00 / usr / sbin / Exim-Mc 1OSBjj 0007Cf-4S SERVER_SIGNATURE = <address> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server by www *** COM-poort 80 </ adres in die>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat Gewysig) SERVER_PORT = 80 nog iets nie duidelik = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


EK KAN NIE verwyder VBET!!
Help my asseblief om my bediener is 'n baie SPAM e-posse te stuur!
Gekraak!

Help Michał Podbielski!

Ek is die ontleding van jou boodskap op hierdie oomblik.

Intussen asseblief vertel hoekom jy nie in staat is om te doen dissable / uninstal vBET? Wat gebeur?

Kan jy asseblief verduidelik hoekom jy dink dat dit is vBET skuld? Ek sien dit nie.

Ook - het jy gevind het wat kode daardie spam e-pos stuur?

Ek kan nie sien hoe jou forum - vbenterprisetranslator_seo.php is verwyder en Htacces reëls is nog steeds wys na hierdie lêer.. Admin CP werk soos ek dit sien.

Hy is met behulp van vbenterprisetranslator_seo.php sy XSRIPT op my webwerf te spuit.

Toe ek probeer die produk unistall, en verwyder vbenterprisetranslator_seo.php van my bediener My web nie werk nie omdat ek nodig het "vbenterprisetranslator_seo.php" in die FTP: S

Hoe kan ek "almal" VBET unistall??

Dankie vir 'n antwoord

UPDATE:
Ek het fout unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Soos ek geskryf het jy het nog steeds htaccess reëls wys na vbenterprisetranslator_seo.php - net kommentaar dié.

Ook jy hoef nie te verwyder vBET - dit is net genoeg om dit te deaktiveer. Veral dat ek sien nog steeds nie hoekom dink jy dat dit is vBET kwessie en dit is moontlik dat dit nie.

Let asseblief vertel hoe om jou eerste boodskap bepaal dat iemand gebruik vbenterprisetranslator_seo.php XSCRIPTs te voeg wat jy skryf oor. Neem asseblief kennis dat vbenterprisetranslator_seo.php het nie enige relevante logika - dit is net Front Controller. Alle versoeke na jou forum gaan deur hierdie lêer en na daardie vbseo.php gebruik word. So as jy verwyder vBET reëls, sal jy sien Alle logboeke wys vbseo.php wat nie beteken dat vbseo.php is verantwoordelik vir die aanval.

Dus, op hierdie oomblik het ek dink dat jy jou logs verkeerd is en dat vbenterprisetranslator_seo.php is nie verantwoordelik vir die aanval. Ek kan verkeerd wees, maar as jy so seker is, dan kan beskryf hoe dit gedoen word (hierdie XSCRIPT invoeging deur vbenterprisetranslator_seo.php) word - sal ons dit analiseer.

Let wel - dit is in ons beste belang is om ons kliënte veilig te hou. So sal ons doen ons beste poging om die probleem op te los indien dit word veroorsaak deur vBET. Vir jou eie veiligheid - kan beskryf presies hoekom dink jy dat dit gedoen word deur vBET is. Anders as jy verkeerd is - wat ek verwag, want baie mense dink dat alles word gedoen deur vbenterprisetranslator_seo.php - wat net van bediener veranderlikes verander en doen niks meer nie, maar alle versoeke deur dit gaan, sodat mense verkeerde indruk kry - dus as jy verkeerd is, dan sal jy net al jou vBET kas en instellings verloor en jy sal nog steeds aangeval word, want jy het die verkeerde ding (nog steeds adviseer oor te skakel vBET nie verwyder word nie).

So verduidelik asseblief waarom is jy thinging dat vBET toegelaat vir hierdie aanval. Tot nou toe het jy geskryf het wat dink jy, maar geen woord Wat laat jou dink dat.

Ek het fout unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Oor die eerste ding - ek sal dit heck.
Oor 2de - jy hoef net te verwyder van die server vBET lêers. Veral sluit / / xml / cpnav_vbenterprisetranslator.xml - hierdie een definieer vBET menu.

Hy is met behulp van vbenterprisetranslator_seo.php sy XSRIPT op my webwerf te spuit.

Toe ek probeer die produk unistall, en verwyder vbenterprisetranslator_seo.php van my bediener My web nie werk nie omdat ek nodig het "vbenterprisetranslator_seo.php" in die FTP: S

Hoe kan ek "almal" VBET unistall??

Dankie vir 'n antwoord

UPDATE:
Ek het fout unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Installeer dit dan probeer verwyder dit weer, dan handmatig verwyder alle vbet opgelaai lêers in hierdie volgorde:

1. weer te installeer
2. verwyder
3. handmatig verwyder alle foto's vbet lêers

PS. Michael, moet gekyk word na dieper, want ek wil veilig in die nag om te slaap. :)

Vir die eerste ding wat - dit is 'n klein vBET fout. Ek het al gevind oplossing - dit sal ingesluit word in die volgende uitgawe. Vir quick fix:
1. oop vBET produk lêer: do-not-upload/product-vbenterprisetranslator.xml
2. Search:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. Vervang deur:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Invoer produk lêer weer
5. Uninstall weer

VBET lêers te verwyder daarna. As jy dit reeds verwyder - laai dit.

PS. Michael, moet gekyk word na dieper, want ek wil veilig in die nag om te slaap. :)

Kyk hier en antwoord vir die vraag: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545

Geen antwoorde nie. In sodanige geval niks vertel dat dit vBET skuld en lêer wat skuldig was genoem het geen logika vir bladsy generasie sodat invoeging van skrifte dit nie moontlik is daar - dit is net 'n front kontroleerder.

Uitgawe gesluit.