PDA

查看完整版本: 已解決 服務器 D砍死VBET!


PabloAM
25-06-10, 17:33
我的服務器遭到黑客攻擊,因為我有VBET。

這是線索,證實了這一點:

根27888 1 0 18:26? SS 0:00 / usr / sbin目錄 /進出口 - MC 1OSBjj - 0007Cf - 4S SERVER_SIGNATURE = <ADDRESS> Apache/2.2.14(Uni x)編程 mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 WWW服務器在**** COM端口80 </地址>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2(紅帽修改)SERVER_PORT = 80 HTTP_HOST = WWW **** COM DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = /存檔/ index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION =保持活動 REMOTE_PORT = 41741 PATH = / bin中:/ usr / bin中PWD = / home/w11s0s3r/public_html SERVER_ADMIN =站長 **** COM REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = WWW *** COM HTTP_PRAGMA =無緩存 SERVER_SOFTWARE = Apache/2.2.14(Uni x)編程 mod_ssl/2.2.14 OpenSSL/0.9.8e - FIPS - RHEL5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD =頭 _ = / usr / sbin目錄 / sendmail的
w11s0s3r 27996 27888 1 18:26? ð 0:00 / usr / sbin目錄 /進出口 - MC 1OSBjj - 0007Cf - 4S SERVER_SIGNATURE = <ADDRESS> Apache/2.2.14(Uni x)編程 mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635服務器在WWW *** COM端口80 </地址>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2(紅帽修改)SERVER_PORT = 80 HTTP_HOST = WWW **** COM DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


我無法卸載 VBET!
請幫我我的服務器發送大量的垃圾郵件!
正在破解!

幫助米哈爾 Podbielski!
vBET
25-06-10, 18:13
我分析你的信息在這一刻。

同時,請告訴你為什麼不能做dissable / UNINSTAL vBET?發生了什麼?
vBET
25-06-10, 18:16
能否請您解釋一下為什麼你認為它是vBET的錯嗎?我沒有看到它。

此外 - 你發現哪個代碼發送的垃圾郵件?

我看不到你的論壇 - vbenterprisetranslator_seo.php被刪除和。htacces規則仍然指向這個文件。 CP管理工作,因為我看到的。
PabloAM
25-06-10, 18:22
他使 用的是vbenterprisetranslator_seo.php注入他的XSRIPT到我的網站。

當我嘗試 unistall產品和刪除 vbenterprisetranslator_seo.php從我的服務器我的網絡 DONT工作,因為我需要“vbenterprisetranslator_seo.php”在FTP:S

我怎麼能unistall“ALL”VBET?

謝謝答复

UPDATE:
我有錯誤 unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg
vBET
25-06-10, 18:34
正如我寫你還有。htaccess規則指向vbenterprisetranslator_seo.php - 只要這些。

您也不必卸載 vBET - 這是不夠的,只是禁用它。特別是,我仍然不明白為什麼你認為它是vBET問題,很可能並非如此。

請告訴您的第一條消息如何確定有人正在使用vbenterprisetranslator_seo.php插入XSCRIPTs你正在寫什麼。請注意,vbenterprisetranslator_seo.php沒有任何相關的邏輯 - 它只是前端控制器。所有請求您的論壇將會通過這個文件,之後 vbseo.php使用。因此,如果您刪除 vBET規則,你將看到所有記錄指向vbseo.php,不會意味著 vbseo.php負責攻擊。

因此,在這一刻,我覺得你讀你的日誌錯誤的,vbenterprisetranslator_seo.php是不負責的攻擊。我是錯的,但如果你是如此肯定,那麼請描述它是如何做(這 XSCRIPT插入由vbenterprisetranslator_seo.php) - 我們將分析它。

請注意 - 這是我們的最佳利益,使我們的客戶安全。因此,我們將盡最大努力解決問題,如果它是由vBET。為了您自身的安全 - 請準確描述你為什麼認為它是通過 vBET。否則,如果你錯了 - 我所期望的,因為很多人認為這一切都是通過 vbenterprisetranslator_seo.php - 這唯一的改變服務器變量,並不陌生,但所有請求由它去,很容易讓人產生錯覺 - 所以如果你是錯了,那麼你只會失去所有的vBET緩存和設置,您將仍然受到攻擊,因為你沒做錯事(仍建議禁用vBET不卸載)。

所以,請解釋一下為什麼你thinging的vBET允許這種攻擊。截止到現在,你只寫了你在想什麼,但無字是什麼使你認為。
vBET
25-06-10, 18:53
我有錯誤 unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

關於第一件事情 - 我會赫克它。
關於第二 - 你只需要刪除的文件從服務器 vBET。特別是/包括/ XML / cpnav_vbenterprisetranslator.xml - 這個定義 vBET菜單。
mario06
25-06-10, 18:56
他使 用的是vbenterprisetranslator_seo.php注入他的XSRIPT到我的網站。

當我嘗試 unistall產品和刪除 vbenterprisetranslator_seo.php從我的服務器我的網絡 DONT工作,因為我需要“vbenterprisetranslator_seo.php”在FTP:S

我怎麼能unistall“ALL”VBET?

謝謝答复

UPDATE:
我有錯誤 unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

然後嘗試重新安裝它卸載了一遍,然後手動刪除所有vbet上傳的文件順序如下:

1。重新安裝
2。卸載
3。手動刪除所有文件上傳 vbet

PS。邁克爾,這必須更深入地加以研究,因為我想睡覺,晚上安全。 :)
vBET
25-06-10, 18:57
對於第一件事情 - 這是小vBET錯誤。我已經找到解決方案 - 這將列入下一版。為了快速修復:
1。打開 vBET產品文件:do-not-upload/product-vbenterprisetranslator.xml
2。查找:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3。改為:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4。進口產品文件再次
5。再次卸載

請刪除 vBET文件之後。如果你刪除它已經 - 請上傳。
vBET
25-06-10, 19:10
PS。邁克爾,這必須更深入地加以研究,因為我想睡覺,晚上安全。 :)

請在這裡看到,並回答問題:http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html#post3545
vBET
05-07-10, 07:11
沒有答案。在這種情況下沒有告訴這是vBET故障和文件,該文件被稱為有罪沒有邏輯頁面生成腳本,以便插入它不可能存在 - 它只是前端控制器。

發行結束。
Automatic Translations (Powered by Google, Microsoft®, Yandex, SDL Language Cloud, IBM Watson and Apertium):
AfrikaansAlbanianArabicBelarusianBulgarianCatalanChineseCroatianCzechDanishDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian CreoleHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianRussianSerbianSlovakSlovenianSpanishSwahiliSwedishTaiwaneseThaiTurkishUkrainianVietnameseWelshYiddish
Translations delivered by vBET 4.10.1