Взлом АТСа (часть II) или что-то иное?..

Сегодня обратил внимание на то что один из доменов не пашет.
мол, 500 Internal Server Error и хоть ты тресни.

Оказалось, что каким то образом сам создался такой htaccess:

Код:

RewriteEngine on RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?cheater.com.*$ [NC] RewriteRule .* http://www.google.com [R,L] Order Deny,Allow deny from 0.0.0.0 deny from 89.83.63.161 deny from 89.122.29.61 deny from 220.110.153.221 deny from 87.218.186.55 deny from 89.122.29.124 deny from 87.30.238.916

дата файла Nov 23 14:32 .htaccess
овнер www

При чём ни я, ни админ сервера, не изменяли ничего уже давно.
Если есть какие-то идеи - выскажите их, плз.
Ну а ежели это кто-то использовал какую-то дырку АТСа - разработчикам следует быть на чеку и проверить эту вероятность.

а ты всё сделал как было ранее описано + всякое гавно там не появилось более в виде файлов?

была такая хрень тож один раз
сапорт хостинга сказал что такое уже встречалось у атс.

Эээ, а что криминального в этом .htaccess? На первый взгляд обычный .htaccess созаваемый ATS'ом по дефолту.

Burn писал:

deny from 87.30.238.916

на это ругнулось

Да, все файлы были почищены, заплаткой проапдейтены и более суровые права
выданы как описывалось в другой теме. )
в том то и дело, что на первый взгляд изменений в размерах и кол-ва файлов не наблюдается, хотя я щас ещё раз просмотрел - не заметил ничего подозрительного. Правда я не гуру - мог под носом не заметить..

Может криминального и нет в этом хтаксесе, но домен был в нерабочем состоянии. А вот это я нахожу.. несколько "неудобным".

Soft-Com, так это в порядке вещей и можно ожидать повторения и на других доменах или есть какой-то апдейт\способ исключающий подобные "ругательства" ?

Я хз, почему у тебя там чота не открывалось. Это стандартный файл .htaccess ATS'а. И я ничего, что могло бы вызвать 500 ошибку не вижу. И .htaccess регулярно апдэйтицца АТСом и правицца (это нормально, RTFM). Туда заносяцца 100% выявленные боты (на автомате, это айпишники) и трейдеры, добавленные в блэклист. АТС отсекает ботовый и баненный траф на уровне .htaccess, а не своими скриптами.

приведенный .htaccess является стандартным для АТС, клики по скрытым линкам вносятся туда на сутки. Если делать это не нужно, можно отключить в админке переназначением скрытой ссылки. Хватит уже истерик по поводу взлома: дырка была, она оперативно закрыта.

von Stoltz писал:

Хватит уже истерик по поводу взлома: дырка была, она оперативно закрыта.

ну типа да, то что можно трекеру скрытых ссылок передать несуществующий ип который окажется в .htaccess приведя этим сайт в нерабочее состояние - это не взлом, это просто баг Только вот найдется ведь пионер который положит все сайты на АТС до которых дотянется просто от нечего делать..

Может найтись и пионер, который положит сайт просто так, заюзав сетку хитботов, которые уже в аренду взять можно. Я же написал, фичу можно выключить в админке.

Код:

deny from 87.30.238.916

удалил, недочитал предыдущие посты

в моем случае в штаксес прописалось вот что
deny from 208.115.111.2425

да нет никаких истерик.
То что рубиться ботовый и баненный траф на уровне хтаксесс - этт конечно хорошо.
но бред типа

Цитата:

deny from 208.115.111.2425

смотриться нефеншуйно.

Причину появления ошибки 500 видать придётся искать вместе с админом.

Burn писал:

да нет никаких истерик. То что рубиться ботовый и баненный траф на уровне хтаксесс - этт конечно хорошо. но бред типа смотриться нефеншуйно. Причину появления ошибки 500 видать придётся искать вместе с админом.

ну насколько я понял причина в этом как раз и есть. в некоректном заполнении штаксеса.
по крайней мере после удалении этой записи. сидж ожил моментом

Это баг в ATS в последней заплате.
Отписал разрабочикам
http://www.ats-project.com/forum/proru/492b20d7.php

не только в последней. в просто 1.7 было тож самое

Ок. Сделаем проверку на валидность ip

von Stoltz писал:

Ок. Сделаем проверку на валидность ip

Сделали?