Meu servidor foi hackeado porque eu tenho VBET.

Esta é a pista que confirma TI:

raiz 27888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc SERVER_SIGNATURE 1OSBjj-0007Cf-4S = <endereço> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www **** com Port 80 </ address>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modificado) SERVER_PORT = 80 = HTTP_HOST www **** com DOCUMENT_ROOT = SCRIPT_FILENAME / home/w11s0s3r/public_html = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / archive / index.php/f-23.html SCRIPT_NAME = / HTTP_CONNECTION vbenterprisetranslator_seo.php = Keep-Alive REMOTE_PORT PATH = 41.741 = / bin: / usr / bin PWD = home/w11s0s3r/public_html / SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -fips-RHEL5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD HEAD = _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 00:00 / usr / sbin / exim-Mc SERVER_SIGNATURE 1OSBjj-0007Cf-4S = <endereço> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www *** com Port 80 </ address>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modificado) SERVER_PORT = 80 = HTTP_HOST www **** com DOCUMENT_ROOT = SCRIPT_FILENAME / home/w11s0s3r/public_html = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


Não consigo desinstalar VBET!
Por favor me ajude meu servidor está enviando um monte de SPAM e-mails!
Está sendo rachada!

AJUDA Michał Podbielski!

Estou analisando a sua mensagem neste momento.

Enquanto isso, por favor dizer por que você não é capaz fazer vBET dissable / uninstal? O que acontece?

Pode me explicar por que você está pensando que a culpa é vBET? Eu não vejo isso.

Também - você achou que o código está enviando os e-mails SPAM?

Eu não posso ver o seu fórum - vbenterprisetranslator_seo.php foi removido e as regras htacces ainda estão apontando para esse arquivo.. Admin CP está trabalhando como eu vejo.

Ele está usando vbenterprisetranslator_seo.php para injetar seu XSRIPT ao meu site.

Quando eu tento desinstalar produto, e excluir vbenterprisetranslator_seo.php do meu servidor web não Meu trabalho porque eu preciso "vbenterprisetranslator_seo.php" no FTP: S

Como eu posso desinstalar VBET "ALL"?

Obrigado por responder

UPDATE:
Tenho VBET unistalling erro:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Como escrevi você ainda tem regras htaccess apontando para vbenterprisetranslator_seo.php -. Apenas um comentário desses.

Além disso, você não precisa desinstalar vBET - é apenas o suficiente para desativá-lo. Especialmente que eu ainda não vejo por que você acha que é questão vBET e é possível que não é.

Por favor, diga como a sua primeira mensagem determinar que alguém está usando para inserir vbenterprisetranslator_seo.php XSCRIPTs qual você está escrevendo. Por favor note que vbenterprisetranslator_seo.php não tem qualquer lógica relevante - é apenas Front Controller. Todos os pedidos para o seu fórum estão passando por este arquivo e depois disso vbseo.php é usado. Então, se você remover regras vBET, você vai ver todos os registros apontando para vbseo.php que não significa que vbseo.php é responsável para o ataque.

Então, neste momento, eu acho que você leia seus logs errado e que vbenterprisetranslator_seo.php NÃO é responsável pelo ataque. Eu posso estar errado, mas se você está tão certo, então por favor descreva como é feito (esta inserção XSCRIPT por vbenterprisetranslator_seo.php) - iremos analisá-lo.

Por favor, note - é do nosso interesse manter segurança dos nossos clientes. Então, vamos fazer o nosso melhor esforço para resolver problema Se ela é causada por vBET. Para sua própria segurança - por favor, descrever exatamente por que você acha que é feito por vBET. Caso contrário, se você está errado - o que eu espero, porque muitas pessoas pensam que tudo é feito por vbenterprisetranslator_seo.php - que apenas altera as variáveis de servidor e não faz nada mais, mas todos os pedidos passam, então as pessoas ficam impressão errada - por isso, se você está errado, então você só vai perder todo o cache vBET seu e configurações e você ainda vai ser atacado, porque você fez algo errado (ainda aconselham a desactivar vBET não desinstalar).

Então, por favor, explique por que você está thinging que vBET permitido para este ataque. Até agora você escreveu apenas o que você está pensando, mas nenhuma palavra que faz você pensar isso.

Tenho VBET unistalling erro:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Sobre a primeira coisa - vou heck-lo.
Sobre o segundo - você só precisa remover a partir de arquivos vBET servidor. Especialmente / includes / xml / cpnav_vbenterprisetranslator.xml - este define menu de vBET.

Ele está usando vbenterprisetranslator_seo.php para injetar seu XSRIPT ao meu site.

Quando eu tento desinstalar produto, e excluir vbenterprisetranslator_seo.php do meu servidor web não Meu trabalho porque eu preciso "vbenterprisetranslator_seo.php" no FTP: S

Como eu posso desinstalar VBET "ALL"?

Obrigado por responder

UPDATE:
Tenho VBET unistalling erro:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Reinstalá-lo e tente desinstalá-lo novamente, depois apagar manualmente todos os arquivos enviados vbet nesta ordem:

1. reinstalar
2. desinstalar
3. apagar manualmente todos os arquivos enviados vbet

PS. Michael, isso deve ser analisado mais profundamente, porque eu quero dormir segura à noite. :)

Para a primeira coisa - é bug vBET pequeno. Eu já encontrei solução - ele será incluído na próxima versão. Para rápida correção:
1. arquivo do produto open vBET: do-not-upload/product-vbenterprisetranslator.xml
2. Pesquisar:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. Substituir por:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Produto importar o arquivo novamente
5. Desinstalar novamente

Por favor, remova arquivos vBET depois disso. Se você removeu já - por favor, carregá-lo.

PS. Michael, isso deve ser analisado mais profundamente, porque eu quero dormir segura à noite. :)

Por favor, veja aqui e resposta para a pergunta: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545

Não há respostas. Em tal caso, nada diz que a culpa foi vBET e arquivo que foi chamado de culpado não tem lógica para a geração de página para inserção de scripts não é possível que haja - é apenas controlador de frente.

Questão fechada.