Intellect Board — cистема управления сайтом

Добавлю свое слово как непосредственный участник событий.
Вирус первым обнаружил я. Причем я примерно знаю промежуток, когда он мог появиться - это между 22-00 и 22-30. Просто дело в том, что до 22-00 я активно общался на форуме, а примерно в 22-30 зашел на форум и касперский стал активно ругаться на вирус.
Начал проверять. Первым делом просмотрел все файлы по дате изменения. И вот здесь было самое мое большое удивление, когда у всех файлов была старая дата (либо дата создания, либо дата заливки на хостинг).
Методом тыка я залез в index.php и обнаружил там искомую строчку. Самое главное - дата и время файла изменены не были!! Вот это для меня осталось самой большой загадкой. Да, права доступа на файлы стояли 775, но вот у господина Dearheart, насколько я понял из сообщения в предыдущем топике - 644, и это его не спасло!
Тут же вычистил файл, и все стало работать нормально. Кинулся смотреть логи, но из-за массового посещения сайта, к которому прикручен форум, а также зверзких настроек хостера, логи уже были частично затерты.
На следующий день прошелся по другим форумам, построенным на IntB - точно помню такую же ситуацию на форумах Dearheart, форум про туры в Чехию (знаю, что его создатель также участник сообщества) и еще на паре форумов, название оторых уже не вспомню. На некоторых был и ранее до заражения моего форума, вирусов не было.
Как это все возникло не понимаю. Больше не понимаю, почему дата и время файла не изменились.
Исходя из того, что одновременно подверглись заражению несколько форумов, имеющих один и тот же движок, создается впечатление что это не целенаправленная атака, направленная на Васю/Петю/Колю, а своего рода вирусная эпидемия, использующая какую либо уязвимость в форуме и/или хостинге.

http://www.openproj.ru/index.php - там тоже iframe генерится

Посмотрел. Взлом сделан грамотно: строка запрятана внутрь index.php в середину, да еще и дата создания файла сохранена, чтобы найти было труднее. Значит, как-то сумели вбросить код на исполнение. Пробовал поискать, где может быть сам код, но пока не нашел.
В качестве временной меры предлагаю закрыть на запись все файлы в корне форума (т.е. поставить им права 444), а так же в стилях и файл настроек. Хоть это проблему и не решит, но жизнь взломщикам усложнить может.

21-11-2011 c 23:07:47 и по 22-11-2011 00:51:13 как-то козел долбился на форум по поводу sql-уязвимости.

с ip-адреса 85.26.233.45

Запросы типа:
/forum/index.php?t=1510%27%27+and+%27x%27%3D%27x
/forum/index.php?t=999999.9+union+all+select+0x31303235343830303536--
/forum/index.php?t=1510'+UNION+SELECT+0x73716C696E6A666C6431/*
/forum/index.php?t=1510'+UNION+SELECT+1+FROM+Administrators/*
/forum/index.php?t=582%27+and+if%281%3D1%2CBENCHMARK%281624133%2CMD5%280x41%29%29%2C0%29+and+%27x%27%3D%27x

и т.д.

4X_Pro, здравствуй.
Я вот не пострадал пока. Но нужно урок из этого дела извлечь.


4X_Pro написал:

[q]

у вас открытие http-адресов через fopen было разрешено или нет?

[/q]

Что это такое? Где и как разрешают? Кто - хостер?


4X_Pro написал:

[q]

что-то вбросили в конфиг

[/q]

А какой конфиг? Где?


4X_Pro написал:

[q]

получили доступ в админку

[/q]

Админку движка или чего?




А у тебя каким образом openproj.ru и на socioclub.org взломали?