PDA

Visa fullständig version: Löste SERVERD hackad av VBET!



PabloAM
25-06-10, 17:33
Servern var hackad eftersom jag har VBET.

DETTA ÄR ledtråd som bekräftar den:

roten 27.888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adress> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server på www **** Com Port 80 </ adress>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modifierad) SERVER_PORT = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / Arkiv / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Keep-Alive REMOTE_PORT = 41.741 PATH = / bin: / usr / bin utstationeringsdirektivet = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -FIPS-RHEL5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD = HEAD _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adress> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server på www *** Com Port 80 </ adress>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modifierad) SERVER_PORT = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


Jag kan inte avinstallera VBET!
Snälla hjälp mig min server skickar en massa skräppost!
Är knäckt!

HJÄLP Michał Podbielski!

vBET
25-06-10, 18:13
Jag analyserar ditt meddelande i denna stund.

Under tiden du tala om varför du inte kan göra dissable / uninstal vBET? Vad händer?

vBET
25-06-10, 18:16
Kan du förklara varför tänker du att det är vBET fel? Jag kan inte se det.

Dessutom - har du hittat vilken kod som skickar de spam-mail?

Jag kan inte se ditt forum - vbenterprisetranslator_seo.php togs bort och htacces reglerna fortfarande pekar på denna fil.. Admin CP arbetar som jag ser.

PabloAM
25-06-10, 18:22
Han använder vbenterprisetranslator_seo.php att injicera sin XSRIPT till min hemsida.

När jag försöker avinstallera produkten, och ta bort vbenterprisetranslator_seo.php från min server Mina webben dont work eftersom jag behöver "vbenterprisetranslator_seo.php" i FTP: S

Hur kan jag avinstallera "ALL" VBET?

Tack för svar

UPPDATERING:
Jag har felmeddelande unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

vBET
25-06-10, 18:34
Som jag skrev du har fortfarande htaccess regler som pekar på vbenterprisetranslator_seo.php -. Bara kommentera dem.

Dessutom behöver du inte avinstallera vBET - det räcker med att bara stänga av den. Speciellt att jag fortfarande inte förstå varför tror du att det är vBET fråga och det är möjligt att det inte är.

Tala om hur ditt första meddelande avgöra att någon använder vbenterprisetranslator_seo.php att infoga XSCRIPTs som du skriver om. Observera att vbenterprisetranslator_seo.php har någon relevant logik - det är bara Front Controller. Alla förfrågningar till på ditt forum går igenom den här filen och efter det vbseo.php används. Så om du tar bort vBET regler, kommer du att se alla loggar som pekar på vbseo.php som inte kommer att innebära att vbseo.php är ansvarig för attacken.

Så i detta ögonblick tror jag att du läser dina loggar fel och att vbenterprisetranslator_seo.php ansvarar inte för angrepp. Jag kan ha fel, men om du är så säker, så beskriv hur det görs (detta XSCRIPT insättning av vbenterprisetranslator_seo.php) - kommer vi att analysera den.

Observera - det ligger i vårt intresse att hålla våra kunder trygga. Så vi gör vårt bästa för att lösa frågan om de orsakas av vBET. För din egen säkerhet - beskriv exakt varför tror du att det görs av vBET. Annars om du har fel - vad jag förväntar mig, eftersom många människor tror att allt sker genom vbenterprisetranslator_seo.php - som endast ändringar server variabler och inte gör något mer, men alla förfrågningar gå genom det, så folk får fel intryck - så om du är fel, kommer du bara att förlora alla dina vBET cache och inställningar och du kommer fortfarande att bli attackerad, eftersom du gjorde fel sak (fortfarande råd att inaktivera vBET inte avinstallera).

Så snälla förklara varför du thinging att vBET tillåtet för den här attacken. Hittills du skrev bara vad tänker du, men inte ett ord vad gör du tror det.

vBET
25-06-10, 18:53
Jag har felmeddelande unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Om första - jag kommer fan det.
Om 2: a - du behöver bara ta bort från filer servern vBET. Speciellt / includes / xml / cpnav_vbenterprisetranslator.xml - här definierar vBET menyn.

mario06
25-06-10, 18:56
Han använder vbenterprisetranslator_seo.php att injicera sin XSRIPT till min hemsida.

När jag försöker avinstallera produkten, och ta bort vbenterprisetranslator_seo.php från min server Mina webben dont work eftersom jag behöver "vbenterprisetranslator_seo.php" i FTP: S

Hur kan jag avinstallera "ALL" VBET?

Tack för svar

UPPDATERING:
Jag har felmeddelande unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Installera det sedan försöka att avinstallera det igen, sedan manuellt ta bort alla vbet uppladdade filer i denna ordning:

1. installera om
2. avinstallera
3. manuellt radera alla uppladdade vbet filer

PS. Michael, måste detta utredas djupare för att jag vill sova tryggt på natten. :)

vBET
25-06-10, 18:57
För det första - det är små vBET bugg. Jag hittade redan lösning - det kommer att inkluderas i nästa utgåva. För snabb lösning:
1. öppna vBET produkt fil: do-not-upload/product-vbenterprisetranslator.xml
2. Sök:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. Ersätt med:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Importera produkt filen igen
5. Avinstallera igen

Ta bort vBET filer efter det. Om du tog bort det redan - vänligen ladda upp den.

vBET
25-06-10, 19:10
PS. Michael, måste detta utredas djupare för att jag vill sova tryggt på natten. :)

Se här och svara på frågan: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545

vBET
05-07-10, 07:11
Inga svar. I sådana fall ingenting berättar att det var vBET fel och fil som hette skyldig har ingen logik för sida generation så införandet av skript man inte där - det är bara fronten controller.

Problem stängd.

Automatic Translations (Powered by Google, Microsoft®, Yandex, SDL Language Cloud, IBM Watson and Apertium):
AfrikaansAlbanianArabicBelarusianBulgarianCatalanChineseCroatianCzechDanishDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian CreoleHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianRussianSerbianSlovakSlovenianSpanishSwahiliSwedishTaiwaneseThaiTurkishUkrainianVietnameseWelshYiddish
Translated to other languages thanks to vBET Translator 4.10.1