SERVERD HACKED BY VBET!

[PabloAM]

Mijn server was gehackt want ik heb VBET.

DIT IS DE CLUE DAT HET BEVESTIGT:

wortel 27888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adres> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www **** com poort 80 </ adres>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat gemodificeerd) server_port = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / archief / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Keep-Alive andere_poort = 41741 PATH = / bin: / usr / bin PWD = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD = HEAD _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adres> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www *** com poort 80 </ adres>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat gemodificeerd) server_port = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C

IK KAN NIET VERWIJDEREN VBET!
Please help me mijn server is het verzenden van een veel spam e-mails!
Wordt gekraakt!

HELP Michał Podbielski!

[vBET]

Ik ben het analyseren van uw boodschap op dit moment.

Ondertussen kunt u vertellen waarom u niet in staat zijn doe dissable / UNINSTAL vBET? Wat gebeurt er?

[vBET]

Kunt u uitleggen waarom denk je dat het vBET schuld? Ik zie het niet.

Ook - heb je gevonden die code is die SPAM e-mails versturen?

Ik kan niet zien je forum - vbenterprisetranslator_seo.php werd verwijderd en. htaccess regels zijn nog steeds te wijzen op dit bestand. Admin CP werkt zoals ik het zie.

[PabloAM]

Hij gebruikt om zijn vbenterprisetranslator_seo.php XSRIPT injecteren op mijn website.

Als ik probeer te Unistall product, en het verwijderen van vbenterprisetranslator_seo.php van mijn server mijn web dont work, want ik nodig heb "vbenterprisetranslator_seo.php" in de FTP: S

Hoe kan ik Unistall "ALL" VBET?

Bedankt voor het antwoord

UPDATE:
Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/2...nistalling.jpg
http://img337.imageshack.us/img337/4...istalling2.jpg

[vBET]

Zoals ik schreef u nog. Htaccess regels te wijzen op vbenterprisetranslator_seo.php - Alleen commentaar die.

Je hoeft ook niet te vBET deïnstalleren - is het voldoende om gewoon uit te schakelen. Vooral dat ik nog steeds zie niet in waarom denk je dat het vBET probleem en het is mogelijk dat het niet is.

Vertel hoe je eerste bericht te bepalen dat iemand met behulp van vbenterprisetranslator_seo.php om XSCRIPTs die je schrijft over in te voegen. Houdt u er rekening mee dat vbenterprisetranslator_seo.php heeft geen relevante logica - het is gewoon een Front Controller. Alle verzoeken om uw forum gaat door dit bestand en na dat vbseo.php is gebruikt. Dus als u vBET regels, zie je alle logs die wijzen naar vbseo.php dat wil niet zeggen dat vbseo.php is verantwoordelijk voor de aanval.

Dus op dit moment denk ik dat je leest je logs verkeerd en dat vbenterprisetranslator_seo.php is NIET verantwoordelijk voor de aanval. Ik kan het mis hebben, maar als je zo zeker van, dan kunt u beschrijven hoe het wordt gedaan (dit XSCRIPT inbrengen door vbenterprisetranslator_seo.php) - Zullen we analyseren.

Let op: - het is in ons belang om onze klanten een kluis. Dus we zullen ons best doen de inspanning om het op te lossen probleem wordt veroorzaakt door vBET. Voor uw eigen veiligheid - beschrijf precies de reden waarom denk je dat het wordt gedaan door vBET. Anders als je het mis - wat ik verwacht, omdat veel mensen denken dat alles is gedaan door vbenterprisetranslator_seo.php - die alleen wijzigingen server variabelen en doet niets meer, maar niet alle aanvragen gaan door, dus mensen krijgen een verkeerde indruk - dus als je fout bent, dan zal je gewoon los al uw vBET de cache en de instellingen en je zult nog steeds worden aangevallen, omdat je verkeerde dingen (nog adviseren voor het uitschakelen van vBET niet verwijderen).

Dus gelieve uit te leggen waarom je thinging die vBET toegestaan voor deze aanval. Tot nu toe schreef je alleen wat denk je, maar geen woord wat denkt u dat.

[vBET]

Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/2...nistalling.jpg
http://img337.imageshack.us/img337/4...istalling2.jpg

Over eerste wat - ik zal heck het.
Over 2e - je hoeft alleen maar te verwijderen van de server vBET bestanden. Vooral / Includes / xml / cpnav_vbenterprisetranslator.xml - dit definieert vBET menu.

[mario06]

Hij gebruikt om zijn vbenterprisetranslator_seo.php XSRIPT injecteren op mijn website.

Als ik probeer te Unistall product, en het verwijderen van vbenterprisetranslator_seo.php van mijn server mijn web dont work, want ik nodig heb "vbenterprisetranslator_seo.php" in de FTP: S

Hoe kan ik Unistall "ALL" VBET?

Bedankt voor het antwoord

UPDATE:
Ik heb error unistalling VBET:
http://img822.imageshack.us/img822/2...nistalling.jpg
http://img337.imageshack.us/img337/4...istalling2.jpg

Vervolgens opnieuw proberen het opnieuw verwijderen, dan handmatig verwijderen alle vbet geuploade bestanden in deze volgorde:

1. opnieuw te installeren
2. verwijderen
3. handmatig verwijderen alle geuploade bestanden vbet

PS. Michael, moet deze worden onderzocht dieper, want ik wil veilig slapen 's nachts.

[vBET]

Voor de eerste ding - het is klein vBET bug. Ik heb al gevonden oplossing - het zal worden opgenomen in de volgende release. Voor een snelle fix:
1. open vBET product bestand: do-not-upload/product-vbenterprisetranslator.xml
2. Zoek:

Code:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);

3. Vervangen door:

Code:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);

4. Importeer product weer bestand
5. Verwijderen weer

Verwijder vBET bestanden na dat. Als u verwijderd het al - gelieve uploaden.

[vBET]

PS. Michael, moet deze worden onderzocht dieper, want ik wil veilig slapen 's nachts.

Zie hier en antwoord op vraag: http://www.vbenterprisetranslator.co....html # post3545

[vBET]

Geen antwoorden. In een dergelijk geval niets vertelt dat het vBET schuld en bestand dat werd genoemd schuldig heeft geen logica voor pagina genereren, zodat het inbrengen van scripts het niet mogelijk dat er - het is gewoon front controller.

Kwestie gesloten.