Il mio server è stato hackerato, perché ho VBET.

QUESTO E 'l'indizio che lo conferma:

radice 27888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc-1OSBjj 0007Cf-4S SERVER_SIGNATURE = <indirizzo> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www **** com Port 80 </ address>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modificato) SERVER_PORT = 80 = HTTP_HOST www **** com DOCUMENT_ROOT = SCRIPT_FILENAME / home/w11s0s3r/public_html = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / archivio / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Keep-Alive REMOTE_PORT = 41741 PATH = / bin: / usr / bin PWD = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -FIPS-RHEL5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 SERVER_ADDR QUERY_STRING = = = 188.165.193.93 GATEWAY_INTERFACE CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD TESTA = _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 0:00 / usr / sbin / exim-Mc-1OSBjj 0007Cf-4S SERVER_SIGNATURE = <indirizzo> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www *** com Port 80 </ address>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modificato) SERVER_PORT = 80 = HTTP_HOST www **** com DOCUMENT_ROOT = SCRIPT_FILENAME / home/w11s0s3r/public_html = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


Non riesco a disinstallare VBET!
Please help me il mio server sta inviando un sacco di SPAM e-mail!
È rotto!

AIUTO Michał Podbielski!

Sto analizzando il tuo messaggio in questo momento.

Nel frattempo si prega di dire perché non siete in grado fare vBET Dissable / uninstal? Che cosa succede?

Si può spiegare perché stai pensando che è colpa vBET? Io non la vedo.

Inoltre - ha trovato che il codice è l'invio di tali e-mail SPAM?

Non riesco a vedere il tuo forum - vbenterprisetranslator_seo.php è stato rimosso e le regole htacces puntino ancora a questo file.. Admin CP sta lavorando come vedo.

Egli utilizza vbenterprisetranslator_seo.php per iniettare il suo XSRIPT nel mio sito.

Quando cerco di unistall prodotto, e l'eliminazione di vbenterprisetranslator_seo.php dal mio server My Web non funzionano, perché ho bisogno di "vbenterprisetranslator_seo.php" nel FTP: S

Come posso disinstallare VBET "TUTTI"?

Grazie per la risposta

UPDATE:
Ho VBET errore unistalling:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Come ho scritto hai ancora regole htaccess che punta a vbenterprisetranslator_seo.php -. Commentare solo quelli.

Anche che non è necessario disinstallare vBET - è sufficiente semplicemente disabilitarlo. Soprattutto che io ancora non capisco perché pensi che sia questione vBET ed è possibile che non lo è.

Si prega di dire come il tuo primo messaggio di determinare che qualcuno sta usando vbenterprisetranslator_seo.php inserire XSCRIPTs cui si sta scrivendo. Si prega di notare che vbenterprisetranslator_seo.php non ha alcuna logica rilevante - si tratta solo di Front Controller. Tutte le richieste per il tuo forum stanno attraversando questo file e dopo che vbseo.php viene utilizzato. Quindi, se si rimuove regole vBET, vedrete tutti i registri che punta a vbseo.php che non significa che vbseo.php è responsabile per l'attacco.

Quindi, in questo momento penso di leggere i registri sbagliato e che vbenterprisetranslator_seo.php non è responsabile per l'attacco. Posso sbagliarmi, ma se siete così sicuri, poi descrivere come è fatto (questo inserimento Xscript da vbenterprisetranslator_seo.php) - noi lo analizzare.

Si prega di notare - è nel nostro interesse a mantenere i nostri clienti al sicuro. Quindi, faremo del nostro meglio per risolvere la questione se è causato da vBET. Per la vostra sicurezza - indicare in modo preciso perché pensi che sia fatto da vBET. In caso contrario, se si è sbagliato - quello che mi aspetto, perché molti pensano che tutto sia fatto da vbenterprisetranslator_seo.php - che cambia solo le variabili del server e non fa nulla di più, ma tutte le richieste passano, così la gente si un'impressione sbagliata - quindi se siete sbagliato, allora si avrà solo perdere tutti vBET la cache e le impostazioni e vi sarà ancora attaccato, perché hai fatto qualcosa di sbagliato (ancora consigliano di disabilitare vBET non disinstallare).

Quindi, per favore spiegare perché sei thinging che vBET permesso questo attacco. Fino ad ora hai scritto solo ciò che pensi, ma nessuna parola cosa ti fa pensare questo.

Ho VBET errore unistalling:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Chi prima cosa - voglio che diamine.
Circa 2 - è sufficiente per rimuovere dai file vBET server. Specialmente / includes / xml / cpnav_vbenterprisetranslator.xml - questo definisce menù vBET.

Egli utilizza vbenterprisetranslator_seo.php per iniettare il suo XSRIPT nel mio sito.

Quando cerco di unistall prodotto, e l'eliminazione di vbenterprisetranslator_seo.php dal mio server My Web non funzionano, perché ho bisogno di "vbenterprisetranslator_seo.php" nel FTP: S

Come posso disinstallare VBET "TUTTI"?

Grazie per la risposta

UPDATE:
Ho VBET errore unistalling:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Reinstallarlo quindi provare a disinstallare di nuovo, poi eliminare manualmente tutti i file vbet caricati in questo ordine:

1. reinstallare
2. disinstallare
3. eliminare manualmente tutti i file caricati vbet

PS. Michael, questo deve essere esaminato più a fondo perché voglio dormire sicura di notte. :)

Per prima cosa - è vBET piccolo bug. Ho già trovato la soluzione - che sarà inclusa nella prossima release. Per la soluzione rapida:
1. aperto vBET file di prodotto: do-not-upload/product-vbenterprisetranslator.xml
2. Cerca:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. Sostituire con:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Prodotto di importazione di file di nuovo
5. Disinstalla di nuovo

Si prega di rimuovere i file vBET dopo. Se è stato rimosso già - si prega di caricarlo.

PS. Michael, questo deve essere esaminato più a fondo perché voglio dormire sicura di notte. :)

Si veda qui e risposta per la domanda: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545

Nessuna risposta. In tal caso nulla dice che è colpa vBET e file di cui è stato chiamato colpevole non ha una logica per la generazione di pagina in modo inserimento di script non è possibile lì - è solo front controller.

Questione chiusa.