PDA

View Full Version: Opgelost SERVERD HACKED BY VBET!



PabloAM
25-06-10, 17:33
Mijn server was gehackt want ik heb VBET.

DIT IS DE CLUE DAT HET BEVESTIGT:

wortel 27888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adres> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www **** com poort 80 </ adres>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat gemodificeerd) server_port = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / archief / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Keep-Alive andere_poort = 41741 PATH = / bin: / usr / bin PWD = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD = HEAD _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adres> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www *** com poort 80 </ adres>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat gemodificeerd) server_port = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


IK KAN NIET VERWIJDEREN VBET!
Please help me mijn server is het verzenden van een veel spam e-mails!
Wordt gekraakt!

HELP Michał Podbielski!

vBET
25-06-10, 18:13
Ik ben het analyseren van uw boodschap op dit moment.

Ondertussen kunt u vertellen waarom u niet in staat zijn doe dissable / UNINSTAL vBET? Wat gebeurt er?

vBET
25-06-10, 18:16
Kunt u uitleggen waarom denk je dat het vBET schuld? Ik zie het niet.

Ook - heb je gevonden die code is die SPAM e-mails versturen?

Ik kan niet zien uw forum - vbenterprisetranslator_seo.php werd verwijderd en htaccess regels zijn nog steeds te wijzen op dit bestand.. Admin CP werkt zoals ik het zie.

PabloAM
25-06-10, 18:22
Hij gebruikt om zijn vbenterprisetranslator_seo.php XSRIPT injecteren op mijn website.

Als ik probeer te Unistall product, en het verwijderen van vbenterprisetranslator_seo.php van mijn server mijn web dont work, want ik nodig heb "vbenterprisetranslator_seo.php" in de FTP: S

Hoe kan ik Unistall "ALL" VBET?

Bedankt voor het antwoord

UPDATE:
Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

vBET
25-06-10, 18:34
Zoals ik al schreef je nog htaccess regels te wijzen op vbenterprisetranslator_seo.php -. Comment gewoon die.

Je hoeft ook niet te vBET deïnstalleren - is het voldoende om gewoon uit te schakelen. Vooral dat ik nog steeds zie niet in waarom denk je dat het vBET probleem en het is mogelijk dat het niet is.

Vertel hoe je eerste bericht vast te stellen dat er iemand is met behulp van vbenterprisetranslator_seo.php om XSCRIPTs die je schrijft over het in te voegen. Houdt u er rekening mee dat vbenterprisetranslator_seo.php heeft geen relevante logica - het is gewoon front controller. Alle verzoeken om je forum te gaan door dit bestand en daarna vbseo.php wordt gebruikt. Dus als je verwijdert vBET regels, ziet u alle logs te wijzen op vbseo.php wat niet betekent dat vbseo.php is verantwoordelijk voor de aanval.

Dus op dit moment denk ik dat je je logs verkeerd gelezen en dat vbenterprisetranslator_seo.php is NIET verantwoordelijk voor de aanval. Ik kan het mis hebben, maar als je zo zeker van, dan kunt u beschrijven hoe het wordt gedaan (dit XSCRIPT invoegen door vbenterprisetranslator_seo.php) - zullen we analyseren.

Let op: - het is in ons belang om onze klanten veilig. Dus we zullen ons best doen om het probleem op te lossen IF wordt veroorzaakt door vBET. Voor uw eigen veiligheid - neem exact beschrijven waarom denk je dat het wordt gedaan door vBET. Anders als je verkeerd zijn - wat ik verwacht, omdat veel mensen denken dat alles wordt gedaan door vbenterprisetranslator_seo.php - die alleen de wijzigingen server variabelen en doet niets meer, maar alle aanvragen gaan, dus mensen een verkeerde indruk krijgen - dus als je verkeerd, dan zul je alleen maar verliest al uw vBET cache en instellingen en je zult nog steeds worden aangevallen, want je hebt verkeerde dingen (nog steeds adviseren om uit te schakelen vBET niet verwijderen).

Dus gelieve uit te leggen waarom je thinging die vBET toegestaan voor deze aanval. Tot nu toe schreef je alleen wat denk je, maar geen woord wat denkt u dat.

vBET
25-06-10, 18:53
Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Over eerste wat - ik zal heck het.
Over 2e - u hoeft alleen maar te verwijderen van server vBET bestanden. Vooral / includes / xml / cpnav_vbenterprisetranslator.xml - deze definieert vBET menu.

mario06
25-06-10, 18:56
Hij gebruikt om zijn vbenterprisetranslator_seo.php XSRIPT injecteren op mijn website.

Als ik probeer te Unistall product, en het verwijderen van vbenterprisetranslator_seo.php van mijn server mijn web dont work, want ik nodig heb "vbenterprisetranslator_seo.php" in de FTP: S

Hoe kan ik Unistall "ALL" VBET?

Bedankt voor het antwoord

UPDATE:
Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Vervolgens opnieuw proberen het opnieuw verwijderen, dan handmatig verwijderen alle vbet geuploade bestanden in deze volgorde:

1. opnieuw te installeren
2. verwijderen
3. handmatig verwijderen alle geuploade bestanden vbet

PS. Michael, moet deze worden onderzocht dieper, want ik wil veilig slapen 's nachts. :)

vBET
25-06-10, 18:57
Voor de eerste ding - het is klein vBET bug. Ik heb al gevonden oplossing - het zal worden opgenomen in de volgende release. Voor een snelle fix:
1. Open vBET product bestand: do-not-upload/product-vbenterprisetranslator.xml
2. Zoek:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. Vervangen door:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Importeer product weer bestand
5. Verwijderen weer

Verwijder vBET bestanden na dat. Als u verwijderd het al - gelieve uploaden.

vBET
25-06-10, 19:10
PS. Michael, moet deze worden onderzocht dieper, want ik wil veilig slapen 's nachts. :)

Zie hier en voor de vraag te beantwoorden: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545

vBET
05-07-10, 07:11
Geen antwoorden. In een dergelijk geval niets vertelt dat het vBET schuld en bestand dat werd genoemd schuldig heeft geen logica voor pagina genereren, zodat het inbrengen van scripts het niet mogelijk dat er - het is gewoon front controller.

Kwestie gesloten.

Automatic Translations (Powered by Google, Microsoft®, Yandex, SDL Language Cloud, IBM Watson and Apertium):
AfrikaansAlbanianArabicBelarusianBulgarianCatalanChineseCroatianCzechDanishDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian CreoleHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianRussianSerbianSlovakSlovenianSpanishSwahiliSwedishTaiwaneseThaiTurkishUkrainianVietnameseWelshYiddish
Translations delivered by vBET Translator 4.10.1