PDA

View Full Version: Løst SERVERD hacket av VBET!


PabloAM
25-06-10, 17:33
Min server ble hacket fordi jeg har VBET.

DETTE ER DEN CLUE som bekrefter IT:

root 27888 1 0 18:26? Ss 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adresse> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server på www **** com Port 80 </ adresse>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modifisert) SERVER_PORT = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslator_seo.php REQUEST_URI = / arkiv / index.php/f-23.html SCRIPT_NAME = / vbenterprisetranslator_seo.php HTTP_CONNECTION = Keep-Alive REMOTE_PORT = 41741 PATH = / bin: / usr / bin PWD = / home/w11s0s3r/public_html SERVER_ADMIN = webmaster **** com REDIRECT_UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ REDIRECT_STATUS = 200 HTTP_ACCEPT =* / * REMOTE_ADDR = 72.55.191.104 SHLVL = 1 SERVER_NAME = www *** com HTTP_PRAGMA = no-cache SERVER_SOFTWARE = Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e -FIPS-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 QUERY_STRING = SERVER_ADDR = 188.165.193.93 GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/1.0 REDIRECT_URL = / archive/index.php/f-23.html REQUEST_METHOD = HODE _ = / usr / sbin / sendmail
w11s0s3r 27996 27888 1 18:26? D 0:00 / usr / sbin / exim-Mc 1OSBjj-0007Cf-4S SERVER_SIGNATURE = <adresse> Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server på www *** com Port 80 </ adresse>? UNIQUE_ID = TCTYtbylwV0AAEFiMjYAAABQ HTTP_USER_AGENT = Wget/1.10.2 (Red Hat modifisert) SERVER_PORT = 80 HTTP_HOST = www **** com DOCUMENT_ROOT = / home/w11s0s3r/public_html SCRIPT_FILENAME = / home/w11s0s3r/public_html/vbenterprisetranslato ^ C


Jeg kan ikke avinstallere VBET!
Vennligst hjelp meg min server sender mye spam e-post!
Blir sprukket!

HJELP Michał Podbielski!
vBET
25-06-10, 18:13
Jeg analysere budskapet i denne stund.

Mellomtiden kan du fortelle hvorfor du ikke kan gjøre dissable / uninstal vBET? Hva skjer?
vBET
25-06-10, 18:16
Kan du vennligst forklare hvorfor du tenker at det er vBET feil? Jeg ser ikke det.

Også - visste du funnet hvilken kode sender disse SPAM e-poster?

Jeg kan ikke se ditt forum - vbenterprisetranslator_seo.php ble fjernet og htacces reglene er fortsatt peker på denne filen.. Admin CP jobber som jeg ser.
PabloAM
25-06-10, 18:22
Han bruker vbenterprisetranslator_seo.php å injisere sin XSRIPT til min hjemmeside.

Når jeg prøver å unistall produkt, og slette vbenterprisetranslator_seo.php fra serveren min My web dont arbeide fordi jeg trenger "vbenterprisetranslator_seo.php" i FTP: S

Hvordan kan jeg unistall "ALLE" VBET?

Takk for svar

OPPDATERING:
Jeg har error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg
vBET
25-06-10, 18:34
Som jeg skrev du fortsatt har htaccess regler som peker til vbenterprisetranslator_seo.php -. Bare kommentere disse.

Også du ikke trenger å avinstallere vBET - det er nok å bare deaktivere den. Spesielt at jeg fortsatt ikke ser hvorfor tror du at det er vBET problem og det er mulig at det ikke er.

Vennligst fortell hvordan din første melding fastslår at noen bruker vbenterprisetranslator_seo.php å sette XSCRIPTs som du skriver om. Vær oppmerksom på at vbenterprisetranslator_seo.php ikke har noen relevant logikk - det er bare Front Controller. Alle forespørsler til forum dine går gjennom denne filen og etter det vbseo.php brukes. Så hvis du fjerner vBET regler, vil du se alle logger peker til vbseo.php som ikke vil bety at vbseo.php er ansvarlig for angrepet.

Så på dette tidspunktet tror jeg at du leser loggene galt og at vbenterprisetranslator_seo.php er IKKE ansvarlig for angrepet. Jeg kan ta feil, men hvis du er så sikker, så kan du beskrive hvordan det gjøres (dette XSCRIPT innsetting av vbenterprisetranslator_seo.php) - vil vi analysere den.

Vær oppmerksom på - det er i vår beste interesse å holde våre kunder trygge. Så vi vil gjøre vårt beste for å løse problemet hvis det er forårsaket av vBET. For din egen sikkerhet - beskriv nøyaktig hvorfor tror du at det er gjort av vBET. Ellers hvis du er galt - hva jeg forventer, fordi mange tror at alt er gjort av vbenterprisetranslator_seo.php - som bare endringer server variabler og ikke gjør noe mer, men alle forespørsler går forbi det, slik at folk får feil inntrykk - så hvis du er galt, da vil du bare miste alle dine vBET cache og innstillinger, og du vil fortsatt bli angrepet, fordi du gjorde feil ting (fortsatt anbefaler å deaktivere vBET ikke avinstallere).

Så vennligst forklar hvorfor du thinging at vBET tillatt for dette angrepet. Till nå skrev du bare hva du tenker, men ingen ord hva tror du det.
vBET
25-06-10, 18:53
Jeg har error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Om første - Jeg skal pokker det.
Om andre - du trenger bare å fjerne fra server vBET filer. Spesielt / includes / xml / cpnav_vbenterprisetranslator.xml - dette definerer vBET meny.
mario06
25-06-10, 18:56
Han bruker vbenterprisetranslator_seo.php å injisere sin XSRIPT til min hjemmeside.

Når jeg prøver å unistall produkt, og slette vbenterprisetranslator_seo.php fra serveren min My web dont arbeide fordi jeg trenger "vbenterprisetranslator_seo.php" i FTP: S

Hvordan kan jeg unistall "ALLE" VBET?

Takk for svar

OPPDATERING:
Jeg har error unistalling VBET:
http://img822.imageshack.us/img822/273/errorunistalling.jpg
http://img337.imageshack.us/img337/4927/errorunistalling2.jpg

Installer det da prøve å avinstallere det igjen, deretter manuelt slette alle vbet opplastede filer i denne rekkefølgen:

1. reinstallere
2. avinstallere
3. manuelt slette alle opplastede vbet filer

PS. Michael, må dette være så inn i dypere fordi jeg ønsker å sove trygt om natten. :)
vBET
25-06-10, 18:57
For det første - det er liten vBET bug. Jeg har allerede funnet løsningen - det vil bli inkludert i neste utgivelse. For rask løsning:
1. åpne vBET produkt file: do-not-upload/product-vbenterprisetranslator.xml
2. Finn:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code.);
3. REPLACE av:

$vbulletin->db->query_write('DROP TABLE ' . TABLE_PREFIX . 'vbenterprisetranslator_cache_'.$code);
4. Import produktet filen på nytt
5. Avinstaller igjen

Vennligst fjern vBET filer etter det. Hvis du har fjernet det allerede - vennligst last den opp.
vBET
25-06-10, 19:10
PS. Michael, må dette være så inn i dypere fordi jeg ønsker å sove trygt om natten. :)

Vennligst se her og svar på spørsmålet: http://www.vbenterprisetranslator.com/forum/troubleshooting/794-serverd-hacked-vbet.html # post3545
vBET
05-07-10, 07:11
Ingen svar. I slike tilfeller ingenting forteller at det var vBET feil og fila som ble kalt skyldig har ingen logikk for side generasjon, slik innsetting av skript det ikke mulig der - det er bare foran kontrolleren.

Utgave stengt.
Automatic Translations (Powered by Google, Microsoft®, Yandex, SDL Language Cloud, IBM Watson and Apertium):
AfrikaansAlbanianArabicBelarusianBulgarianCatalanChineseCroatianCzechDanishDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian CreoleHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianRussianSerbianSlovakSlovenianSpanishSwahiliSwedishTaiwaneseThaiTurkishUkrainianVietnameseWelshYiddish
Translated to other languages supported by vBET Translator 4.10.1