Центр пользователя  |  Ваши сообщения  |  FAQ
Форум поддержки phpBB » phpBB 3.0.x » Поддержка phpBB 3.0.x

Как удалить следы ботов-спамеров

Помощь в установке, настройке и использовании phpBB 3.0.x
Пожалуйста, помните, что существуют: Поиск, Правила форума
Возможно, ответ на Ваш вопрос уже имеется: Документация, Статьи, Накопленный опыт
Полезные материалы по этой теме: Инструкция по установке форума, Конвертеры

Сообщение 30 апр 2009, 18:11

Приветствую народ! Проблема такая: Установил движок phpBB 3.0.4 на настоящий сервер (не локальный), и сейчас занимаюсь установкой и обкаткой модов. В связи с тем, что на хостинге временно не работает почта, отключил активацию по почте пользователей. И в первый-же день сразу зарегилось 25 ботов-спамеров с рекламой порнухи. Поставил антибот мод, новые регистрации прекратились. Удалил почти всех новых зарегистрированных, но остался след. На всех страницах, даже в админ-панели появляется реклама порно с каждой перезагрукой страницы. При попытке закрыть окно с рекламой - перебрасывает на порно сайт. Просматривая исходный код в браузере, вижу вот такой скрипт:
Код: выделить все
<script type="text/javascript">
var SITE = 'http://hochu-tebya.ru';
var RID = 135;
</script>
<script type="text/javascript" src="http://goryacho.ws/javascript/promo_popupletter.js"></script>

Подскажите пожалуйста, где и в каком файле его найти, чтобы удалить??? И как с этим бороться??? В поиске по этому вопросу нахожу только варианты блокировки ip-адресов ботов через файл .htaccess. Но насколько я понимаю, это уже поздно. Самое интересное, каким образом можно прописать этот скрипт??? Еще заметил одну странность, поскольку мой сайт пустой (так как пока занимаюсь модами), поисковые боты сайт не посещали и рекламы этой небыло. Вчера появился в статистике бот от гугли и появилась эта реклама. Может совпадение, а может и нет.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение 30 апр 2009, 18:26

проверяйте все файлы, начиная с index и т.д. Только вас похоже взломали, а причем тут боты спамеры не ясно. Так же в админке проверьте описание форума, полностью посмотрите строчку
crash
Поддержка
 
Сообщений: 11348
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 30 апр 2009, 18:32

Лучше почистить аккаунт и поставить форум заново, тем более, что он чистый, без пользователей. Даже если Вы найдете этот скрипт и выковыряете, есть вероятность, что останутся другие скрипты, или трояны.

Не совсем понятно только, как к Вам попал этот скрипт, у ботов ведь нет доступа к файлам форума. Возможно в результате взлома. А где Вы скачивали дистрибутив?

Вчера появился в статистике бот от гугли и появилась эта реклама. Может совпадение, а может и нет.

Это скорее всего совпадение. Хотя есть вероятность, что бот активизируется при появлении поисковика, чтобы подсунуть информацию для индексации.
Искренне Ваш,
Евгений
Аватар пользователя
Tarus
Разработчик скинов
 
Сообщений: 1066
Зарегистрирован:
13 дек 2008, 14:26
Благодарил (а): 0 раз.
Поблагодарили: 115 раз.

Сообщение 30 апр 2009, 19:15

Спасибо вам за ответы, но блин сильно разочарован в начинании с начала.Изображение Да и гарантий нет что неповторится. Про след я подумал из-за того, что боты сначала в сообщениях на форуме рекламировали порно сайты. Вот поудалял, так всплывающим окном нервируют. Но похоже взломали, и походу дагадываюсь когда. На моем хостинге ayola.net изначально почта не активирована. И я их службу поддержки засыпал вопросами про почту - что и как активировать. Модератор ихнего форума ответил, что почта работает и спросил мой акаунт. Я с дура ума не понял про какой акаунт, и написал оба логина - от почты и панели управления сайтом (где стоит движок). Только логины, и по ходу этого достаточно. Хоть пароли сложные, но видать подобрали. Блин, я в трауреИзображение. Логин админки соответствует адресу сайта + несколько цифр, и он не меняется, только пароли. Значит нужно и адрес сменить (то-есть завести новый акаунт)? Вот блин век живи, век учись, я в шоке от варианта - сначалаИзображение
А дистрибутив скачивал от сюда:
http://www.phpbb.com/downloads/
Вряд ли там левак будет.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение 30 апр 2009, 19:39

Я с дура ума не понял про какой акаунт, и написал оба логина - от почты и панели управления сайтом (где стоит движок). Только логины, и по ходу этого достаточно.

Если пароль действительно сложный, то его не получится подобрать. Вероятно проблема в другом.

Значит нужно и адрес сменить (то-есть завести новый акаунт)?

Не обязательно. Обратитесь к хостеру, это нужно решать с ним.

Кстати, со мной был случай, возможно у Вас та же ситуация:
Я для работы с FTP использую Total Commander, а он хранит доступы в открытом виде. Проникший на компьютер вирус считал эти доступы и разослал трояны по всем FTP-аккаунтам, которые были вбиты в Тотале. Повезло, что их тогда было всего пару штук :)

Так что рассматривайте разные варианты, не обязательно это прямой взлом.
Искренне Ваш,
Евгений
Аватар пользователя
Tarus
Разработчик скинов
 
Сообщений: 1066
Зарегистрирован:
13 дек 2008, 14:26
Благодарил (а): 0 раз.
Поблагодарили: 115 раз.

Сообщение 30 апр 2009, 20:57

Спасибо еще раз за ответы и советы. Точно, как раз и пользуюсь Total Commander-ом, и притом крякнутым. Пробовал FlashFXP, но чем-то непонравилось. А в Тotal Commander-е у меня два сайта вбиты, старый в системе Ucoz, и этот новый с проблемами. Вот интересно только, на старом сайте все спокойно вроде, никаких взломов, хотя посещают его минимум 100 уникальных хостов в день. А новый пустой и сразу такая бяка. Так получается у меня в компе вирус??? А ведь стоит доктор веб лицензия и файерволл Outpost Firewall Pro тоже лицензия, и оба молчат гады. Значит и виндовс менять придется???

P.S.
Но самое интересное, реклама появилась через день после выкладывания моего логина акаунта на форуме хостера. А сайту уже месяц. Совпадения, или все же взлом с форума хостера??? Пошел писать в службу поддержки хостера. Всем спасибо.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение 30 апр 2009, 21:13

А в Тotal Commander-е у меня два сайта вбиты, старый в системе Ucoz, и этот новый с проблемами. Вот интересно только, на старом сайте все спокойно вроде, никаких взломов, хотя посещают его минимум 100 уникальных хостов в день. А новый пустой и сразу такая бяка.

1. Вирус может не поражать все соединения.
2. Возможно троян на другом аккаунте еще не проявился.
3. Возможно на Ucoz стоят мощные антивирусы, или что-то подобное.

Так получается у меня в компе вирус??? А ведь стоит доктор веб лицензия и файерволл Outpost Firewall Pro тоже лицензия, и оба молчат гады. Значит и виндовс менять придется???

Это просто предположение. Возможно проблема у хостера. Рассмотрите ситуацию со всех сторон.
Взлом аккаунта носил скорее случайный характер, а не целенаправленный, т. к. Ваш форум новый и не представляет особого интереса для хакеров. Поэтому версия с вирусом на компьютере выглядит наиболее убедительно. Ведь он распространяется вслепую.
Искренне Ваш,
Евгений
Аватар пользователя
Tarus
Разработчик скинов
 
Сообщений: 1066
Зарегистрирован:
13 дек 2008, 14:26
Благодарил (а): 0 раз.
Поблагодарили: 115 раз.

Сообщение 01 май 2009, 00:09

Да уж, версий случившегося много. Пока написал хостеру, жду ответа. Но у меня тут появилась еще одна дикая версия. Взял набрал в адресной строке адрес сайта/ и название папки наобум из движка. Результат - белый экран (так как файл не назван в адресе), копирайт хостера - И ЭТА ДОЛБАННАЯ РЕКЛАМА. Все, больше ничего. Может сам хостер заражен???
Точнее не все папки прокатывают, или пишет ошибка, или как написал выше.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение 01 май 2009, 16:58

С праздником всех! Вот парни, в продолжение темы - написал вчера хостеру, ответа еще не получил, а сегодня реклама пропала. А вот в самой админке акаунта появился новый блок от хостера. Так как я на бесплатном хостинге, то они имеют право прокручивать свою рекламу (которую отключить можно за деньги). Так вот в новом блоке есть выбор 8 тематик рекламы на моем сайте, 4 из которых я могу отключить по своему желанию. Думаю, возможно взлома небыло (тем более ативирус и блокпост молчат), а хостер экспериментировал с блоком рекламы (правда тематики порно в блоке нет). Но чем гадать, дождусь ответа от хостера. Скачивал все файлы из корня сайта (еще когда реклама была), кроме папок, кода там не нашел.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение 01 май 2009, 20:48

Ура народ! Это был не взлом, и не след ботов. А недорозумение хостера с рекламой. Вот оф ответ:
Код: выделить все
Нами был добавлен баннер службы знакомств, показывающийся 1 (один) раз в сутки.
В виду того, что он действительно отображается всего 1 раз, мы не знали о изменяющемся содержимом, пока не прочитали вот этот топик. Еще сегодня ночью, этот баннер был подвергнут жесткой цензуре. Были убраны абсолютно все словосочетания "взрослой" тематики, ибо, разумеется, никто не собирался устраивать подобный бардак.

Никакой порнографии, и нарушений УК РФ или УК Украины в этих баннерах, как нас заверили по итогам разбирательства не было, изменили мы их исключительно по причине излишней "фривольности", не допустимой на большинстве ресурсов. Разумеется, исходные баннера не будут возвращены в систему. Мы приносим извинения за это беспокойство, и можем заверить, ничего подобного более не повторится. Любые рекламные материалы, если такие будут добавляться, будут проходить всесторонний осмотр под электронным микроскопом. Во избежание

Всем спасибо за помощь и поддержку, хоть немного напугали меня со взломом (особенно обидно за лицензию на антивирус и сетевой экран, если бы они пропустили этот взлом), но все же есть о чем подумать. Можете посоветовать какой-нибудь FTP клиент побезопасней???

P.S.
Кстати, эта порно реклама была на всех сайтах хостера, представляете что творится на форуме хостера! Особенно достается от владельцев детских сайтов, у них детишки смотрят порно. Жесть.
Моя дикая мысль от поста выше - оказалась реальностью. Бывает даже так.
Александр72
Активный участник
 
Сообщений: 72
Зарегистрирован:
19 апр 2009, 13:57
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.


Вернуться в Поддержка phpBB 3.0.x

 


  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Форум поддержки phpBB
2008 - 2017 © BB3x.ru - русская поддержка форума phpBB3
Создано на основе phpBB® Forum Software © phpBB Group
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама