Реклама на сайте Advertise with us

(Лечение!) Ахтунг атакуют топы или дыра GB Top

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 21/01/11 в 18:29       Ответить с цитатойцитата 

Надо кому-то первому попробовать. Наверное это буду я icon_razz.gif Попытаюсь по крайней мере

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 25/01/11 в 21:53       Ответить с цитатойцитата 

Держите вторую волну icon_lol.gif Билять хоть как фиксили баг так и через мыло форму херачит. Нашел недавно установленный скрипт сука и его хлопнул хоть и версия 5.6. Не должно в форме для ничего кроме {name}[@]{domain}[.]{com} быть! Нет же! И все символы прошли и все. Смотрите удаляйте. Кстати у кого закинули бэкдор считайте что рут пароль просрали. И пока не удалите все файлы с шелами, то менять смысла нет.
ЗЫ последняя капля моего терпения.. icon_twisted.gif
ЗЫЫ Есть айпи этого пидорга может таго smail17.gif

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 26/01/11 в 11:17       Ответить с цитатойцитата 

мне этот насос тоже запихнул код в auxout+noref, статистика на морде поменялась на нули, сейчас по новой восстанавливаюсь ;(

2
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 26/01/11 в 17:41       Ответить с цитатойцитата 

Нашел у себя тоже в auxout+noref скрипт почти на всех топах и опять лишние php файлы в datafiles.
На одном из топов нашел в datafiles вот такой файл .ftpaccess:
Код: [развернуть]


И удаляйте auxout.dat в backupfiles, там тоже эта шняга сидит.

Что-то мне кажется, что пароли фтп факинг хакер попиздил... icon_sad.gif

TOP/Links trade 2Gb BackUp

3
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 26/01/11 в 23:28       Ответить с цитатойцитата 

J_Geer: Братко самое интересное он и твой рутовский пароль знает. Ломается один скрипт. Дальше через дыру вытягивает пароль рута и привет! Меняйте пароли после того как все проверите

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 27/01/11 в 00:35       Ответить с цитатойцитата 

Ну конкретно в моем случае рутовский пароль я и асм не знаю - у меня все топы на виртуалах. Если дальше пойдет - придется саппорт напрягать...
На другом виртуале заменило еще и index.php, стоящие под 444... 29Kb вместо 10,8...

TOP/Links trade 2Gb BackUp

2
 



С нами с 21.10.05
Сообщения: 3005
Рейтинг: 2714

Ссылка на сообщениеДобавлено: 27/01/11 в 14:26       Ответить с цитатойцитата 

Намедни чтото странное пыталось засабмиться. Мыло вот такое
Код: [развернуть]

Это оно?

FAQ по CCbill Добавляем и поправляем.

1
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 27/01/11 в 20:40       Ответить с цитатойцитата 

J_Geer:Меняй права и удаляй index.pph обнов скрипт. Отписывай хостеру пусть ищет у тебя файл .php

bubon: Вполне возможно, что нащупывает пробъет или нет. Смотри аминку не покоробило изменением?

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 21.10.05
Сообщения: 3005
Рейтинг: 2714

Ссылка на сообщениеДобавлено: 27/01/11 в 20:56       Ответить с цитатойцитата 

Та вроде все нормально. Темплейты тоже не менялись.

FAQ по CCbill Добавляем и поправляем.

2
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 27/01/11 в 21:05       Ответить с цитатойцитата 

Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет...

TOP/Links trade 2Gb BackUp

3
 

I love suicidegirls.com ;-)

С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819

Ссылка на сообщениеДобавлено: 27/01/11 в 21:16       Ответить с цитатойцитата 

Есть идея не большая. А что если сабмит форму топа перенести в другое место какое нибудь. А сабмит проводить через свою форму которая будет чекать все поля на валидность и уже потом отсылать данные на форму которую куда нибудь в другое место зарыли или сразу в базу данных.
Или в чем именно проблема там ? Из за чего просачивается его гавно ?

8
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 27/01/11 в 21:31       Ответить с цитатойцитата 

J_Geer писал:
Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет...

возможно что морда обновлятся не будет

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 27/01/11 в 22:05       Ответить с цитатойцитата 

Морда пишется в файлы main{category}.html в рут директории скрипта, насколько я понимаю. А из темплейтов только берется образец для заполнения. А вот редактироваться из админки темлейты точно не будут, надо будет 777 ставить на папку.

TOP/Links trade 2Gb BackUp

2
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 27/01/11 в 22:17       Ответить с цитатойцитата 

J_Geer: Я на своих права менял у меня морда не обновлялась

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 27/01/11 в 23:16       Ответить с цитатойцитата 

Проверил - обновляется. 555 именно на фолдер templates стоит, а на сам фолдер, в котором скрипт стоит, должны быть права на запись, т.е. 777 или как минимум 755.

TOP/Links trade 2Gb BackUp

3
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 28/01/11 в 08:45       Ответить с цитатойцитата 

+1 _4eburek icon_smile.gif Хорошая идея! Хотя у некоторых овнеров есть скрипт, который автоматом самбитит во все его Топ листы, может он и есть, кто бы согласился выложить подобный скрипт в паблик?! ;)

2
 



С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970

Ссылка на сообщениеДобавлено: 28/01/11 в 11:29       Ответить с цитатойцитата 

_4eburek: У скрипта жёсткая привязка к названию webmasters.php Т.к. у автора там ссылки.

Остальным - пользуйтесь clamav'ом, на freebsd, centos он должен стоять по умолчанию. Там нужны только три команды, даже я разобрался icon_smile.gif
whereis clamav - если есть, то:
freshclam - обновить базу
clamscan -r -i /usr/home/user/www/ – рекурсивное сканирование, т.е. сканирование в подкаталогах; показывать только инфицированные файлы

Остальным http://www.clamav.net/lang/en/download/ с инструкциями.

CrazyMen: свою проблему вбей в поисковик, там правится конфигурационный файл

3
 

I love suicidegirls.com ;-)

С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819

Ссылка на сообщениеДобавлено: 28/01/11 в 12:09       Ответить с цитатойцитата 

gimcnuk: Ну можно финт ушами сделать. Написать простенький скриптик свой вебмастерс (старый переименовать), через который принимать сабмиты, при апруве просто заменять скрипт на нормальный и своим скриптом туда данные редиректить. потом опять переименовывать топовый вебмастерс.пшп чтобы через него не сабмитили.

2
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 29/01/11 в 11:45       Ответить с цитатойцитата 

gimcnuk: Проверял по твоей методике не нашел ни одного вируса. Потом через ssh прсомтрел и нашел вредоносные скрипты. Так что не поможет такок действие ничем кроме как профилактики

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 29/01/11 в 15:29       Ответить с цитатойцитата 

В принципе, вполне ожидаемый результат. Имхо больше смысла, если есть рут доступ (свой сервер или вдс-ка) прогнать поиском по содержимому файлов, взяв за строку поиска часть содержимого хакерских файлов. Что-то типа
grep -l ${"\x47\x4cO
grep -l x65\x76\x61
из рут директории сервера. Примерно так.

TOP/Links trade 2Gb BackUp

4
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 01/02/11 в 02:47       Ответить с цитатойцитата 

Факин шит! На одном из виртуалов, где все уже вроде вычистил, опять объявился левый код. На этот раз на паре топов появился "пустой" мембер (мыло не приходило, хотя везде выставлено извещать), а memberfiles в файле member_name.dat сидел вот такой код:
Код: [развернуть]


и опять поменяло код в auxout+noref на

Код: [развернуть]


В остальном топы работали нормально, темплейты под 555 и индексы целые. На другом виртуале пока все в порядке.
Опять вычистил все и поменял права на auxout.dat на 444. Хрен с ней, со статистикой, задрало уже чистить это г...но через день.
Видимо, эта хрень все-таки через сабмит-форму лезет. Видимо надо менять сабмит на чисто мыльный...

TOP/Links trade 2Gb BackUp

2
 



С нами с 20.07.05
Сообщения: 315
Рейтинг: 407

Ссылка на сообщениеДобавлено: 01/02/11 в 08:53       Ответить с цитатойцитата 

Переделал для сабмита форму обратной связи. Родной webmasters.php просто подменяется этим файлом.
Эта форма не имеет никакого доступа к скрипту, а просто шлет на заданное мыло данные трейдера. Которые потом вбиваются ручками через админку. Е-мейл, макс. длина полей и заполненность проверяются, единственное, чего не осилил со своим "РНР со словарем" - проверку урла на валидность. Заплутал в регулярках. Кто шарит, подправьте плиз в строке 137.
В общем, если кому интересно, смотрим и берем здесь

TOP/Links trade 2Gb BackUp

8
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 01/02/11 в 08:56       Ответить с цитатойцитата 

J_Geer - Интересный подход! smail54.gif Спасибо за скрипт! ;)

0
 



С нами с 05.10.05
Сообщения: 841
Рейтинг: 486

Ссылка на сообщениеДобавлено: 01/02/11 в 19:20       Ответить с цитатойцитата 

Меня на 4 страницу данной топика антивирь не пускает - блокирует, чего вы там понаписали?

3
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 01/02/11 в 20:48       Ответить с цитатойцитата 

AndreXXX: Ты не должен был сюда заходить! Мы еще тебе сюрприз недописали в коде smail101.gif. Часть кода видно не потерли вот орет на него

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »