Новая тема   Ответить

 doomed
Итак:

1) Пока нашел только в ATX 1.3.12, другие версии или AT3 возможно тоже самое.
2) Шлют спец реф
3) Если вы смотрите refstats и наводите мышку на url исполняется хитрый mouseover
4) далее iframe, эксплоит садится в tmp сервера и выполняется от прав вебсервера
5) если у вас стандартные настроки www путей используемые во многих дистрибутивах и проблемы с правами на файлы и каталоги, то поздравляю. Вас поимели.

У меня нестандартные, потому и сообщаю

Код выслан овнеру ATX и на закрытый форум.
Лечить пока нечем, потому баним: 79.135.187.18 или подсеть.

p.s. Уроды из Эстонии теперь проживают в Турции. Понятно почему

 net666
ну почему не чем лечить, поставь на нужные файлы нужные права, а дыра эта известна похоже. мне один сж ломанули, нашел те файлы в которые говно писалось, поправил права и все щас ни чего, год живу спокойно.

 Kitaa
Имхо если юзать АТХ, то без специально обученных админов лучше не юзать его

 doomed
1) В AT3 тоже самое
2) Дырку залатали, готовят апдейт. Учитываю выходные думаю к понедельнику слепят под все.. может и быстреe.

 Ziegfrid
ЗАлатали. 18 версия доступна.

 Tartar
кто-нибудь обновился уже? как всё прошло?

 Bul
блин - ну вы и садомазахисты - я уж думал никто не юзает эту поебень...

 doomed
Tartar писал:
Все хорошо. На и на атл и на атх.

 doomed
Bul писал:
Да ладно, еще неизвестно какие проблемы у других. Изначально у тех кто думал головой - все закрыто было всегда.
Нетворки большие на ATX у людей есть и сменить на раз два не так-то просто и дешево.

 Ziegfrid
doomed писал:
Походу не все так хорошо как бы хотелось. Попробуйте кто-нибудь зайти в security log есть ли информация там? Или выдает ошибку ? (на 18 билде)

 doomed
Ziegfrid писал:
Лога больше нет. Он пишется теперь в другой файл и в админке не будет показываться, по крайне мере в этих билдах. Там кстати так и пишет, никакой ошибки. Так и задумано.

 Ziegfrid
doomed писал:
Оригинально))). А смысл так делать?

 Benny
а логи рефов случайно не сделали в простом текстовом формате ? без интерактивных ссылок типо.

 doomed
Ziegfrid писал:
А чтоб не парится долго, убрали и все
Рефы в реальности нужнее, чем секурити лог.
Формы вcе равно отключены у всех, и в добавок по IP закрыты.
Да и ATX v2 на подходе. Вроде грозится в декабре примерно родить.

 doomed
Benny писал:
Нет оставили как есть, добавили просто фильтры на вставку левака.
Левак в реф вставить можно (на самом деле очень сложные рефы иногда с СЕ или каталогов), но все варианты выполнения кода из html режутся и ничего выполнятся не будет..

 color
с этого же IP сейчас ломают у клиента одного сиджы, AT3 не стоит, предположительно в ATS дыра... заливают пхп-скрипт криптованый который дергают потом удаленно с этого IP и который добавляет гадость во все shtml файлы какие найдет.
как именно заливают пока не разобрались

 color
В общем в ATS есть аналогичная уязвимость. каким то образом ссылка на скрипт http://79.135.187.18/ats/ats.php попадает в админку в список трейдеров и активируется при заходе пользователя в админку и заражает сервер.

 Freezman
ATS виновен, первый раз за много лет ломанули пару серверов и там как раз стояли ATS и все действия с сервером потом шли с этого айпи 79.135.187.18, проверяйтесь народ в логах, чувак много заразил хостов, ставит код который подгружает море троянов
вот уже народ обсуждает: Очень нестандартный трейдер или взлом АТS?

 vpb2k
Ет наверное с етой же оперы
В логах нашел:
X.X.X.X - - [03/Nov/2008:21:52:10 +0000] "POST /cgi-bin/atx/x/x2.cgi
HTTP/1.1" 200 1874 "http://92.62.101.9/i.php" "Mozilla/4.0 (compatible; MSIE
7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

где X.X.X.X - ip клиента

если я правильно понимаю ситуацию - то защита через .htaccess летит к чертям
и в фаервол на сервере неспасет

 vpb2k

хмм - правда atx на тот момент был не 1.3.13 - сапорт atx божится что уже все пофиксили... ну посмотрим