Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
CJs
»
Тема:
Ну вот и меня подломали...
Новая тема
Ответить
цитата
15/05/08 в 11:03
net666
сегодня ночью ат3 ломанули. "обычный" код на морде сж появился. ковырялся 2.5 часа, вроде вычистил. Вопрос как от этого защититься, смену скрипта не предлагать. IP динамический, т.е. через хт.. не пойдет, пока просто тупо закрыл запись в темплайт ТОПа. но эта хрень еще в стриме тоже гадит, там так не получится закрыть...
цитата
15/05/08 в 11:20
dejavu
в админке ат3 можно указать маску IP для доступа. Даже если IP динамический вряд ли он будет меняться с первых двух значения, пишешь например 83.83 которые не меняются при новом айпи
зы: появилось вроде в 17 билде тока, так что если нету то стоит обновить
цитата
15/05/08 в 11:35
net666
в том то и дело, что IP меняется в больших диапазонах, сетка очень большая, я у прова давно уже это узнавал. короче так не получится. Интересный момент, после того как устранил последствия, траф естественно в гору пошел, и прода выросла 6а 30-40 проц.
:-)
цитата
15/05/08 в 12:08
saaas
а что мешает ходить по админкам с определенных проксей только
которые и прописать в хтиаксесе и в скрипте?
цитата
15/05/08 в 12:17
L.Estel
Прокинь VPN до хостера и подключайся к админке через него.
В .htaccess нужно будет открыть только один адрес - который тебе выдаст VPN сервер. Как правило эти адреса из немаршрутизируемых сетей.
цитата
15/05/08 в 13:51
Nick Cave
net666, свяжись плиз со мной. Есть вопросы по чистке.
469469восемь шесть три
цитата
15/05/08 в 13:59
weely6
это 17 билд ломанули, или с 17 всё в норме?
цитата
15/05/08 в 14:08
Nick Cave
17-ый ломают тоже через рефера в notrade.
У меня симптомы были такие, как soft-com описал здесь:
Попытки залогинитьcя в АТЛ под user/pass
смотрите в админке АТЛ рефов в тотале по Notrade - если есть alfaporn... - значит ломанули.
цитата
15/05/08 в 14:33
net666
То что сломали я починил :-)... что сделать чтоб вновь не сломали. Вот вопрос :-)
цитата
15/05/08 в 14:48
Nick Cave
net666 - ты не понял - ты починился, а я еще не совсем. Хотел пару вопросов задать
цитата
15/05/08 в 14:51
net666
Я щас в аську не могу стукнуть, после 18 по москве обязательно постучу.
цитата
15/05/08 в 20:27
bizman
мои CJи тоже сломали, лечил как описано здесь:
Вниманию тех кто юзает ATL3! - серьезная уязвимость!
ограничил доступ к файлам x2.cgi и admin.cgi с помощью .htaccess, потом снёс sync.php и backup.php, почистил весь код, но через 5-10 мин код возвращается!
У кого такое было, как вы от этого избавлялись?
цитата
15/05/08 в 21:47
Kitaa
Первым делом занеси в фаервол адреса с которых ломали. Еще поищи файлы с датой измениния когда взлом был. Может еще какой пхп файл оставил.
цитата
15/05/08 в 22:01
Soft-Com
Если есть возможность, скинь плс мылом access_log вебсервера, исходник странички с логой АТ и исходник странички с но-трейд трафом АТ support{на}soft-com.biz.
по возможности сделай в корне каждого домена такую команду:
Код:
find ./ -name \*.htm* -exec grep -H "document.write." {} \; | awk -F":" '{print $1}'
find ./ -name \*.php -exec grep -H "document.write." {} \; | awk -F":" '{print $1}'
получишь приблизительный список файлов с трояном.
прежде чем дальше что-то делать сделай
Код:
/usr/libexec/locate.updatedb - во фре
updatedb - в линуксе
потом найди locate-ом файлы backup.php - если файл не относится к протону - удаляй.
Код:
locate backup.php
потом ищи файлы sync.php
Код:
locate sync.php
файл sync.php должен находится в директории ST_DIR/admin/sync.php, где ST_DIR - директория куда поставлен смарт, если у тебя нашлись файлы не в этом месте - 90% это троян, можешь его открыть редактором - если в файле нету зазенденого пхп-кода - удаляй.
если стоит стримротатор - в админке просмотри его шаблон, чтобы в самом шаблоне небыло трояна, потому что он может прочитать конфиг стримротатора (он плейнтекстовый) и получить доступ к базе, где и хранится темплейт стрима.
цитата
16/05/08 в 06:09
net666
Сразу скажу я не программер, есть такая мысль откуда начинается заражение...
1 долбоеб в поле user при логине вводит какоето непонянтное и длинное дерьмо (код говна которым заражается сервер)
2 долбоеб тупо смотрил секурити лог, куда уже записан код, сам запуская его на выполение. и САМ заражая свой сервер, скорее всего это одна из дыр CGI,
Если бы можно было огданичить поле user ну скажем длинной в 10 символов (параноиков у которых имя пользователя больше 10 символов мало) часть проблеммы ушла бы.
остаются записи в логе нотрейд, туда этот код тож впихнуть можно.
На сколько я знаю htaccess регулярные выражения поддерживает, можно просто банить запросы к серверу с содержанием в них определенного выраженичя, правда не знаю как это скажется на загрузке самого сервера.
цитата
16/05/08 в 06:22
Soft-Com
Попытки залогинитьcя в АТЛ под user/pass
здесь всё немного подробней описано.
цитата
16/05/08 в 10:40
1978GRAY
а что тебе мешает поставаить анонимную проксю и прописать доступ к админке ток с этого ип
?
я так в свое время делал когда диалап еще был
цитата
16/05/08 в 12:25
vaal
SetEnvIfnocase Referer ^(.*)?document.write\(unescape(.*)?$ bad=1
SetEnvIfnocase REFERER ^(.*)?<\?(.*)?$ bad=1
SetEnvIfnocase REFERER ^(.*)?\?>(.*)?$ bad=1
Order Allow,Deny
Allow from all
Deny from env=bad
Вставь этот код в htaccess, будет блокировать попытки с этих реффералов, которые потом появляется в нотрейде, и пиздят куки.
цитата
16/05/08 в 23:31
Nick Cave
Я вчера к вечеру зачистился полностью.
Там моя аська выше есть - у кого не получается, стучите.
Огромное спасибо net666 за помощь. И особенно братья и сестры, исключительно - снимаю шляпу перед soft-com-ом. Это монстр
Спасибо.
Кстати амхост самоустранился, как и в случае с моим предыдущим взломом.
Slonic в соседней ветке спрашивал про то, что все-таки остается alfaporn в реферах ноутрейд. Да, у меня после чистки статсов/логов - он там все равно есть (появляется по новой). Но href со скриптом троя у него уже отбит. Htaccess насколько я понимаю работает. Делал так как предлагал soft-com - с перенаправлением на google.
цитата
17/05/08 в 08:04
net666
А может лучше чем гугль обратно отправлять ? у себя я так сделал.
цитата
18/05/08 в 10:52
Soft-Com
Рекомендую подправить .htaccess, судя по всему уродец научился передавать параметры через GET.
Код:
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .*
http://google.com/
[L]
P.S.
В последнее время стали ломать с этого айпишника 92.62.101.9, кто хочет может прикрыть сам айпишник.
P.P.S.
куда слать пидара - дело сугубо личное, я всей душой за
http://lleo.aha.ru/na/
, но воспитание не позволяет, знаете-ли
.
цитата
18/05/08 в 10:59
net666
to Soft-Com
Классная ссылка....
цитата
19/05/08 в 16:29
Mitch
Soft-Com - а если стоит защита по ip то могут щас ломать или нет ?
хтаксес в дире at3
<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from all
Allow from мой_ip
</FilesMatch>
цитата
19/05/08 в 16:34
Soft-Com
это защита только от залогинивания в админку с левых IP + от прямой передачи параметров скриптам, судя по всему можно передать параметры через in.cgi (его само собой не прикроешь особо), поэтому желательно через реврайт (или setenvif кому как приятнее) прикрыть левого рефа и прикрыть возможность передавания параметра через GET/POST.
цитата
19/05/08 в 18:07
Nick Cave
Для тех у кого не чистилось и морды стрима заражались по новой.
Код содержится не только в файлах sync.php и backup.php. Я только что обнаружил изрядное количество левых php файлов в папке смарта. Содержится в них всех подобная конструкция: "<?php $s="202069662028...........".
Так вот - если вроде все почищено, но индексы заражаются снова и снова - пробуйте искать такие файлы. Размер около 2кб. Можно следующей командой:
grep -rH "2020696" * | awk -F":" '{print $1}'
Вот в частности мой результат из папки смарта:
st/img/css_gray/css.php
st/img/custom/cust.php
st/img/icons/icons.php
st/submit/temp/submit.php
st/thumbs/007/th.php
st/thumbs/015/9234.php
st/thumbs/020/020.php
st/thumbs/035/035.php
st/thumbs/016/016.php
st/thumbs/017/017.php
st/thumbs/011/011.php
st/thumbs/014/014.php
st/thumbs/045/045.php
st/thumbs/026/026.php
st/thumbs/037/037.php
st/thumbs/046/th.php
Все это - левое.
Стр.
1
,
2
>
последняя »
Новая тема
Ответить
Эта страница в полной версии