Security issue

Originally Posted by Oleg Ignatiuk

If any of the affected boards are running MySQL binary log (MySQL :: MySQL 3.23, 4.0, 4.1 Reference Manual :: 5.3.4 The Binary Log) we could find a query that updated the db datastore (please provide details via the ticket in this case). If not, I'd recommend to enable binary log (for some time) just in case if attack repeats.

We actually had the binary log on, so I have 2 weeks worth of binary logs I can check. What query did you find that I could try to check against in my log?

That should be an "update" or "insert" query on "datastore" or "plugin" table.

Lütfen dikkat..İngilizce bilmediğimden konuya türkçe olarak yazıyorum..Bu yüzden öncelikle özür dilerim..
Son 1 aydan fazla süredir sebeini merak dahi etmediğim fakat bana zararı olduğu hissine kapıldığım bir sorunum var..Googleden sitemi arattığımda karşıma
çıkan linklere tıklayınca beni http:/filestore73.com/download.php?id=74D700B4 adlı siteye atıyor..daha sonra geri alıp yenileyince ancak ozaman siteme dönüyor..Googlede bu sorunu aratınca karşıma bu sitede bu konu linki çıktı..Sitemde vb 3.8.5 ve vbseo 3.3.2 kullanıyorum..Acaba seo ile alakalı bişeymi bu?Yada başka çözümü varmı yardım lütfen..Mert hocam özellikle türkçe yanıt verirseniz sevinirim..Umarım çözüm bulunur..

Bu arada sürümden kaynaklıdır diye düşünerek son versiyonu yükledim siteme daha önceki lisans numaramı kabul etmiyor ve geçerli değil diyor..Yeşil ilede geçerli lisans numarası diye bir no veriyor..Onu yazıp okeyliyorum kabul ediyor fakat tekrar giriş çıkış veya işlemde yine geçersiz ürün anahtarı diyor nedir sebep acaba?
Birde yeni sürümü yükleyince sisteminizde eski vbseo dosyaları var onları silebilirsiniz diye bier başlık çıktı..bende egreksiz diye yedekleyerek sildim..Konulara girince temamın olmadığını karman çorman bir düz ekranda yazılar haline gelmiş bir forum gördüm..Yükleyince dosyaları geriye düzeldi..Bunun sebebi nedir..Silinecekmi silinmeyecekmi o dosyalar?


Edit:
1-Yaptığım denemeler sonunda devre dışı bırakınca vbseoyu sorun ortadan kalkıyor..Vbseo ile alakalı olduğundan yardımlarınızı bekliyorum.
2-Lisans numarası nasıl oldu bilmiyorum ama onaylı görünüyor artık,sorun yok..
3-Versiyonu son sürüme yükseltme işlemimden sonra yaptığım google aratma denemesinde maalesef yine yönleniyor mevzubahis siteye :(

Originally Posted by seoadana

Lütfen dikkat..İngilizce bilmediğimden konuya türkçe olarak yazıyorum..Bu yüzden öncelikle özür dilerim..
Son 1 aydan fazla süredir sebeini merak dahi etmediğim fakat bana zararı olduğu hissine kapıldığım bir sorunum var..Googleden sitemi arattığımda karşıma
çıkan linklere tıklayınca beni http:/filestore73.com/download.php?id=74D700B4 adlı siteye atıyor..daha sonra geri alıp yenileyince ancak ozaman siteme dönüyor..Googlede bu sorunu aratınca karşıma bu sitede bu konu linki çıktı..Sitemde vb 3.8.5 ve vbseo 3.3.2 kullanıyorum..Acaba seo ile alakalı bişeymi bu?Yada başka çözümü varmı yardım lütfen..Mert hocam özellikle türkçe yanıt verirseniz sevinirim..Umarım çözüm bulunur..

Bu arada sürümden kaynaklıdır diye düşünerek son versiyonu yükledim siteme daha önceki lisans numaramı kabul etmiyor ve geçerli değil diyor..Yeşil ilede geçerli lisans numarası diye bir no veriyor..Onu yazıp okeyliyorum kabul ediyor fakat tekrar giriş çıkış veya işlemde yine geçersiz ürün anahtarı diyor nedir sebep acaba?
Birde yeni sürümü yükleyince sisteminizde eski vbseo dosyaları var onları silebilirsiniz diye bier başlık çıktı..bende egreksiz diye yedekleyerek sildim..Konulara girince temamın olmadığını karman çorman bir düz ekranda yazılar haline gelmiş bir forum gördüm..Yükleyince dosyaları geriye düzeldi..Bunun sebebi nedir..Silinecekmi silinmeyecekmi o dosyalar?


Edit:
1-Yaptığım denemeler sonunda devre dışı bırakınca vbseoyu sorun ortadan kalkıyor..Vbseo ile alakalı olduğundan yardımlarınızı bekliyorum.
2-Lisans numarası nasıl oldu bilmiyorum ama onaylı görünüyor artık,sorun yok..
3-Versiyonu son sürüme yükseltme işlemimden sonra yaptığım google aratma denemesinde maalesef yine yönleniyor mevzubahis siteye :(

vBSEO içerisinde herhangi bir güvenlik açığı yoktur. Sitenizde eğer daha önce vBSEO güncellemesi yapmadıysanız sitenizde bulunan açıklardan giriş yaparak sitenize istedikleri an kullanabilecekleri shell dosyaları yüklemişlerdir. Bu shell dosyalarını aratmalı ve temizletmelisiniz.

Her vBSEO versiyonunda lisans numarası değişiktir ve yeni atanan lisans numarasını kaydetmelisiniz.

Lütfen Türkçe mesajlarınızı sadece Türkçe forumlarına gönderiniz.

I do have binary and apache access logs that show that the attack seems to have been performed using normal ACP functions:

- The attacker logs in to ACP
- Modifies a Plug-in on Hook global_start (often this is vBSEO but not always)
- Logs out

A few seconds later aPOST request from another IP is being performed to a script that normally does not process POST requests (like index.php).
This requet uses the installed backdoor to remove the entries from control panel log and adjust the AUTO_INCREMENT value.
With another request the lastactiviy of the compromised account is also being adjusted.

Scan your access log files for requests to plugin.php, compare those to your control panel logs and you
should be able to find the requests.

Andreas, can you send some log entries to us via ticket?

I don't think I can actually open support tickets as my license is expired (I never used it)

As someone mentiond the vBA CMPS vulnerabilitie:
I just rescanned the logs and I don't hink this could have been the cause (actually I discovered that issue after the attacks).

Just out of curiosity:
Is anyone who was/is affected by this using GMail for an administrator account?

You can send an email to support@vbseo.com and it will enter our ticket system.

Happened to us again today. Found some suspicious things in the access logs finally. Would appreciate someone going through them with me tomorrow. I can provide the access you need. In the meantime, I've locked my admincp directory down via htaccess which should put an end to this - though it's only a band-aid and doesn't solve the underlying problem. Would still love to see someone get to the bottom of this.

You should open a ticket with the logs.

Originally Posted by gcc llc

Happened to us again today. Found some suspicious things in the access logs finally. Would appreciate someone going through them with me tomorrow. I can provide the access you need. In the meantime, I've locked my admincp directory down via htaccess which should put an end to this - though it's only a band-aid and doesn't solve the underlying problem. Would still love to see someone get to the bottom of this.

Please create a support ticket with title Att: Mert

This is a big Problem

http://www.vbseo.com/f3/security-iss...o-3-3-x-41463/

Secutity: Redirction to file2store.info

Need fix for this asap !

John T. Yocum: I couldn't find where the code came from. Have you tried turning off vbSEO to see if the problem clears up?
Chad Embrey: i will try to turn it off
Chad Embrey: ok i think i turned it off
John T. Yocum: I'm still seeing the redirect.
Chad Embrey: me too
Chad Embrey: i may of just turned off 1 part of it
Chad Embrey: let me disable it completely
John T. Yocum: ok
Chad Embrey: ok
Chad Embrey: testing
John T. Yocum: no more redirect
Chad Embrey: i agree
Chad Embrey: appears to of fixed the issue?
John T. Yocum: Yeah. So, the problem does look to be with vbSEO
Chad Embrey: i agree
Chad Embrey: i will work with developer VBSEO is the problem
John T. Yocum: OK
Chad Embrey: thanks for all your time and help

Responded to your ticket. This has not been identified as a vBSEO problem yet. Disabling any addon would have solved the issue because it rebuilds the datastore.

I disabled my Blogs and that didnt fix it , i went right down the list and disabling VBSEO fixed the issue , i have even removed all javascript from my site one by one and nothing fixed it but disabling vbseo