Форум: ошибки, глюки и пр.

Сообщение **Паша** » 15 июн 2009, 11:37

Одноклубники!
Просим вас в этой теме рассказывать о выявленных ошибках/глюках в работе форума.
Обязательно пишите в каком браузере наблюдается ошибка, какой шкуркой (темой) форума пользуетесь, прилагайте скриншоты.

Улучшим работу форума вместе!
-----------------------------------------------------------------------------------------

Появились 2 непонятных символа на каждой странице форума в Subsilver2
Глюк со смайликами
Глюк с закрытием тега ника в Prosilver
Проблема со входом на сайт у абонентов ByFly. Решение ТУТ
Глюк с "Кто сейчас на форуме" внизу тем форума
Глюк с "Кто сейчас на форуме" внизу главной страницы форума
Обрезанные заголовки в E-mail-уведомлениях
Рассылка E-mail-уведомлений
Превышено число активных соединений "max_user_connections". Пожалуйста, не дублируйте об этом на форуме. Это проблему не решит.

popov_ · Сообщение **popov_** » 01 июн 2013, 16:57

яндекс все еще обкладывает матом :hang:

Сообщение **Rezaka™** » 02 июн 2013, 22:58

Обновил версию Joomla (на которой сделана главная страница), посмотрим поможет ли :unknown:

Bill Humble · Сообщение **Bill Humble** » 03 июн 2013, 06:56

Обновить версию мало. Надо найти и уничтожить залитый вебшелл. Доступ через ssh на сервер есть?

BaRsupillamy

Игорь, вроде вот с этих форумов тоже письма не пришли мне после регистрации... айдреса у всех разные, но мали ли они где-нибудь в одном месте стоят...

ну... как бы так... как всегда мысль хорошая приходит только потом... написал верхнюю строчку и вспомнил, что спам давно фильтруется на серверах почты... письма с активацией моего аккаунта успешно лежали в спаме... может просто и наш форум не проходит через спам фильтр на тут.бае?
Игорь, ты же сам говорил, что тебе на гуглопочту письма пришли с форума...

YouTube · Сообщение **Игорь** » 17 июн 2013, 09:41

BaRsupillamy, это те сайты, с которых также не приходит почта? В таком случае косяк видимо на стороне хостера - наш сайт и сайт forum.divers.by расположены на серверах одного и того же хостера.

BaRsupillamy

не-не-не

я ж написал... с этих сайтов письма отфильтровал спам-фильтр на тут-бае... может, и местный ящик попал в число спамеров... я просто почту Bat'ом забираю и вообще давно не лазил в веб-интерфейс... поэтому не отслеживаю, что там в спам попадает...

http://forum.divers.by/ - вот с этого письмо не пришло... ни в почте нет, ни в спаме...

ну вот и я подумал, что, возможно, беда у хостера...

YouTube · Сообщение **Игорь** » 17 июн 2013, 09:53

BaRsupillamy писал(а):... отфильтровал спам-фильтр на тут-бае

Вообще-то у tut.by с осени 2009 перевёл всех своих пользователей на платформу Google gmail.com.

И ещё, чтобы окончательно снять подозрения со спама - мне уведомления приходили на E-mail на нашем сервере, т.е. на ***@audi-belarus.by.

Test · Сообщение **Test** » 17 июн 2013, 12:11

Тест. Проверка рассылки E-mail-уведомлений.

Raznoglazaja

пришло уведомление :yahoo:

Bill Humble · Сообщение **Bill Humble** » 19 июн 2013, 14:21

Rezaka™ отписался в личку, что опять полно спамерских скриптов. Из-за этого с утра не работал форум.
Если доступа по ssh нету и автоматически его не подключить, то проще и быстрее поставить вебшелл. Точно такой же, я уверен, мы впоследствии найдем где-нить в недрах сайта.

Качаем его со страницы разработчика: rdot.org/forum/showthread.php?p=11829
Отключаем антивирус (иначе он его будет убивать с формулировкой "найден вебшелл"), распаковываем, и заливаем на сайт куда-нить в укромное место.
Открываем ссылку на него в браузере. Пароль по умолчанию будет "root".

Переходим в раздел "String tools" и ищем файлы по следующему шаблону:
Text: preg_replace("/
Path: /home/<имя экаунта>/www/
Name: *.php

Найденное выкладывай сюда, будем думать, что из них есть вражеский вебшелл.

Добавлено спустя 4 минуты 37 секунд:
Да, и в собственном wso2.php желательно поменять пароль. Хэш от него лежит в строке

Код: Выбрать все

$auth_pass = "63a9f0ea7bb98050796b649e85481845";

Надо придумать пароль, сгенерить для него md5 и вписать вместо этого.

Сообщение **Rezaka™** » 19 июн 2013, 14:33

Bill Humble, сделал :hi:

Скрытый текст. Нужно быть зарегистрированным и иметь сообщений: 100

Добавлено спустя 3 минуты 14 секунд:
пасс сменил, спасибо

Bill Humble · Сообщение **Bill Humble** » 19 июн 2013, 14:52

В этом поиске не вижу ничего подозрительного.
При условии, что dumper.php известно откуда взялся.
Еще интересует результат поиска по строкам

Код: Выбрать все

eval(

и

Код: Выбрать все

fopen(

Сообщение **Rezaka™** » 19 июн 2013, 14:59

Bill Humble писал(а):При условии, что dumper.php известно откуда взялся.

Да, это точно мой файлик, бэкап джумлы раньше делал. Снес его, больше не нужен.

Bill Humble писал(а):eval(

Скрытый текст. Нужно быть зарегистрированным и иметь сообщений: 100

Bill Humble писал(а):fopen(

Скрытый текст. Нужно быть зарегистрированным и иметь сообщений: 100

Мдаа, тут побольше файликов будет.

Bill Humble · Сообщение **Bill Humble** » 19 июн 2013, 15:25

Сделай перед чисткой полный бэкап.

По первому поиску:
/home/audibela/www/audi-belarus.by/forum/cache/ - можно похерить содержимое вообще, заново сгенерируется
/home/audibela/www/audi-belarus.by/administrator/help/self.php - непонятно, что там делает
/home/audibela/www/audi-belarus.by/forum/search2.php - в базовом варианте такого нет, разве что в модах
/home/audibela/www/audi-belarus.by/images/saved.php - непонятно, откуда в картинках пхп-код
/home/audibela/www/audi-belarus.by/media/system/css/css.php - нечего ему там делать
/home/audibela/www/audi-belarus.by/wiki/images/archive/ - все найденное тщательно изучить
/home/audibela/www/audi-belarus.by/wiki/images/thumb/ - то же самое, да и далее по тексту index.php все изучать

По второму:
/home/audibela/www/audi-belarus.by/templates/gk_corporate/ - какие-то стремные файлики в подпапках
/home/audibela/www/audi-belarus.by/tmp/ - вообще по идее можно чистить, оставить только wso2, если это наш
/home/audibela/www/audi-belarus.by/wiki/images/ - если там действительно планировалось хранить только картинки, то коду там делать нечего

А вообще тут уже творчество. Подлинный код что жумлы, что bb3, что вики обычно начинается с характерной шапки. Если в файле сразу с первой строки разные хакерские шифровки - файл можно причислять к подозрительным.

Добавлено спустя 1 минуту 42 секунды:
Да, и еще если что-то 100% классифицировано как зловред, можно сделать поиск по наиболее типичному его содержимому - найдутся все остальные копии.

Юра 80 · Сообщение **Юра 80** » 20 июн 2013, 00:06

Bill Humble, светлая голова :drinks:

Bill Humble · Сообщение **Bill Humble** » 25 июн 2013, 20:21

iPad перебрасывает с форума на iosoffer.info. Что-то Rezaka недолечил. У кого есть логи за последние несколько дней? Я бы поизучал на досуге.

EXEMOK · Сообщение **EXEMOK** » 26 июн 2013, 20:59

Думаю надо начать с
cat access.log | grep POST |gzip -c > a.txt.gz

И внимательно изучить нестандартные посты.

antoxa_lp · Сообщение **antoxa_lp** » 26 июн 2013, 21:13

Bill Humble писал(а):iPad перебрасывает с форума на iosoffer.info. Что-то Rezaka недолечил. У кого есть логи за последние несколько дней? Я бы поизучал на досуге.

с iPhone такая же беда. все возможные браузеры перепробовал

Властелин колец

давно говорю - избавляйтесь от огрызков :kaka:

antoxa_lp · Сообщение **antoxa_lp** » 26 июн 2013, 22:09

Властелин колец писал(а):давно говорю - избавляйтесь от огрызков

ну привет тебе... ни за что!!! :cannabis:

Форум: ошибки, глюки и пр.

Форум: ошибки, глюки и пр.

Кто сейчас на форуме