Попытки залогинитьcя в АТЛ под user/pass

даже лучше делать именно так, чтобы не плодить в разных директориях хтаксесы - уже винт меньше дёргаться будет, просто нужно положить такой хтаксес или в docroot домена или в cgi-bin/atx(cgi-bin/at3 или блин где у вас там этот самый АТ установлен)

все же как-то можно сделать доступ именно по маске 172.16.*.*.?

172.16.0.0/16

Soft-Com, спасибо Бро!
А еще вопросик на засыпку...
У меня может быть несколько масок IP адресов...
Типа
89.*.*.*
79.*.*.*
и т.д...
Как быть в этом случае?

ну ты так вежливо спросил ... будь как хочешь

<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from 89.0.0.0/8 172.16.0.0/16 192.168.1.0/24
Allow from 192.168.100.200
</FilesMatch>

ты не понял как для этого диапазона айпишников 172.16.0.0-172.16.255.255

Soft-Com, никак не вдуплю..., что за цифры идут после слэшей...
***/8
***/16
***/24
Просвети плз?

Project писал:

Soft-Com, никак не вдуплю..., что за цифры идут после слэшей... ***/8 ***/16 ***/24 Просвети плз?

префикс сети
например дипазон 172.16.0.0-172.16.255.255 будет записываться как
172.16.0.0/16 (64516 хостов)
а
172.16.0.0-172.16.0.255 - 172.16.0.0/24 (254 хоста)

и т.д.

блин ну не в форуме же азы обсуждать ...

Soft-Com - кстати спасибо за азы ;) у меня обсуждаемая тут проблема ат скриптами отсутствует, виду отсутствия онных... а вот про ипишники и хтацсс очень интересно было прочитать ;) особенно поледний пост....

Soft-Com, мало чего понял, но тем не менее, спасибо!
+10

Soft-Com писал:

ну ты так вежливо спросил ... будь как хочешь <FilesMatch "(admin|x2|login)\.cgi"> Order Deny,Allow Deny from All Allow from 89.0.0.0/8 172.16.0.0/16 192.168.1.0/24 Allow from 192.168.100.200 </FilesMatch>

а если хакер юзает такого же провайдера, тогда для надежность VPN/Proxy прописывать ?

вообще для надёжности нужно ставить на своём дедике/виртуале SOCKS5/OpenVPN/HTTP-Proxy на какой-нибуть айпишник, и ходить только через него, и его же добавить в разрешённые айпишники

нарылась ещё одна вроде как немного интересная инфа

вобщем есть такая фигня в АТ - "ip daemon", сервис который помогает блокировать читеров, и т.д. - в общем полезная штука, но у него есть важная фишка - он
перезаписывает хтаксес по тому пути которому укажешь, и есть вероятность несанкционированной перезаписи хтаксесса с блокировками

поэтому нужно это выключить, или засунуть хтаксес с блокировками на уровень или несколько уровней ниже чем хтаксес, который указан в настройках ip daemon, например в /cgi-bin/atx/.htaccess, для спокойного сна так же лучше наверно периодически чекать md5 данного файлика ...

Ого как без меня топик разросся!
Всем отписавшимся респект и рейтинг по максимуму
Отдельное спасибо Soft-Comза мануал по доступу из диапазона IP

Блин сколько страданий и ухищрений, только чтобы юзать этот слабо сшитый буржуйский скрипт, который к тому же уже с прошлого года никто не хочет защитить. Снес все атлы и сплю спокойно

Edward
Дык поделись с народом на что перешел?

PS: Может кто вкурсе что нового в АТХ 2.0 положат? Вроде как обещаются через пару месяцов начать продажи, скидки и все такое .

Советую всем забанить файрволом две айпишки с которых ломают атл: 203.117.111.106 и 195.5.116.250

В линуксе это можно сделать командами
iptables -A INPUT -s 203.117.111.106 -j DROP
iptables -A INPUT -s 195.5.116.250 -j DROP

Soft-Com писал:

нарылась ещё одна вроде как немного интересная инфа вобщем есть такая фигня в АТ - "ip daemon", сервис который помогает блокировать читеров, и т.д. - в общем полезная штука, но у него есть важная фишка - он перезаписывает хтаксес по тому пути которому укажешь, и есть вероятность несанкционированной перезаписи хтаксесса с блокировками

на нужный хтаксес права редонли выставить мона, и никто его не перепишет.

можно и immutable выставить, но это не только взломщику проблем доставит

а лучше всего в конфиг апача вписать. главное только при смене провайдера не забыть поправить конфиги

Я немного пресмотрел своё видение ситуации:
1. через login.cgi небыло как таковых попыток взлома (хотя можно в принципе брутфорсом)

2. запрос к login.cgi происходит в виде:
user=USER&pass=PASS

где:
USER - это просто заенкоденый вредоносный код, а
PASS - пофигу что

весь смысл сего действа в том, что тупой login.cgi именно в таком виде и запуливает в логу информацию о неудачной попытке логина, именно таким образом на странице "Security Logs" появляется JS Injection код - но это на самом деле не троян.

3. небольшое отступление
авторизация в АТ3/АТХ идёт через куку, выставляемую скриптом login.cgi в таком виде:
САЙТ ИМЯ куки
DOMAIN.COM atluser

а сама кука содержит такую информацию:
AT_User$AT_Password$atl
или
AT_User$AT_Password$atx

4. взломщику остаётся только подождать, пока кто-то проавторизуется, и вредоносный код при заходе на страничку "Security Logs" просто напросто делает запрос куда надо, передавая куку с данными на доступ.

P.S.
Однозначно авторы АТ - ебанутые багописатели, пароль в куке держать в открытом виде ...
и блин херню всякую в логу писать - прям как милиция отечественная ... уроды

Последний раз редактировалось: Soft-Com (12/03/08 в 16:54), всего редактировалось 2 раз(а)

2 soft-com
я бы не стал это все постить на публичном форуме =)

А если взломщику таки удалось поставть ифрейм сервис типа CJlog будет его видеть?
Или это только руками проверять можно ?

CJlog точно не увидит т.к. он у тебя в админке не бывает.

судя по всему есть возможность используя ранее полученный доступ к АТ3/АТХ даже при закрытом admin.cgi редактировать шаблоны смарттумбса ... (вообще непонятно каким образом), поэтому имеет смысл проверить морду или шаблон на содержание строки типа "document.write" и т.д.

Скорее всего это касается тех у кого используется SuExec, или права 777, и т.д. но пока до конца связь не понятна ...