Новая тема   Ответить

 ciberdem
файлы установок (/settings/*.php)

 Gidz
мне тут человек на армаде написал что в скрипте был закодирован сайт
Код:

это так? чей сидж? мож на него написать чего нехорошего?

 miroz
Gidz писал:
Опа-на. Известный человек на AskDamage под ником Best-in-BC
Попробую отписать там.

 SamsonS
времени мало, спешил всё сделать, но забыл расшифровать пароль перед заменой.

В итоге не проходит пароль.
может кто сталкивался, знает как заменить/обнулить/ищё чего нибудь?

 $ilver
На нашем серваке были убиты все php файлы. Пришлось попотеть что бы все восстановить.

 von Stoltz
SamsonS писал: в файле si.php меняем $a_login="логин", $a_password="пароль", $secured="0" заливаем файл обатно и входим в админку.

 mopani
Gidz писал:
А у меня было вот это
Код:
Возможно это в свою очередь ранее взломаные сиджы.

 Next
Закодированные в коде сиджи однозначно взломанные и используются для вставки говна через ифрейм. Так что утверждать что владельцы этих сиджев и есть уроды ошибочно!

пысы: один из моих сиджев как-то побывал в такой шкуре, кто-то понял ситуацию, ну, а кто-то (несколько тупых пендосов) тупо забанили навечно

 SamsonS
von Stoltz писал:
СЕНКС!!! всё отлично поменял

- а что делать с subrules.txt?

 von Stoltz
Итак добро пожаловать за апгрейдом на ats-project.com
Вот несколько общих рекомендаций.
Если сайт не взломан:
1. убедиться, что на корневую папку установлены права не выше 755;
2. Проапгрейдить до 1.7.2 путем замены файлов;
3. Зашифровать пароль;
4. Для спокойного сна поставить права 444 на файлы /datafiles/rules.txt, datafiles/subrules.txt, templates/*.tpl, чтобы менять темплейты и правила из админки придется временно вернуть права 777.

Если уже поломали:
1. убедиться, что на корневую папку установлены права не выше 755;
2. удалить все php файлы, которые не похожи на файлы АТС (они могут быть в папках);
3. удалить файлы /datafiles/rules.txt, datafiles/subrules.txt;
4. Проапгрейдить до 1.7.2 путем замены файлов;
5. Вычистить темплейты (можно из админки);
6. создать заново правила для трейдеров Settings - Trade Rules;
7. Зашифровать пароль;
8. Для спокойного сна поставить права 444 на файлы /datafiles/rules.txt, datafiles/subrules.txt, templates/*.tpl, чтобы менять темплейты и правила из админки придется вернуть права 777.

 SamsonS
как насчет апдейта для 1.6.3 ?

 Pashich

тоже интересно

 Lost
тож интересно про 1.6.3
и также вопрос про апдэйт. версии 1.7 апдэйтить сразу можно на 1.7.2 рпостым перезалитием файлов?

 Pashich
наверно да - просто перезалить...но!
у меня например файлы ротатора поверх скрипта стоят в 1.6.3
кстати как правильно то? у кого как?
но если сначала ротатор поставить а потом скрипт то тоже работает
хотя я ставил сначала скрипт потом ротатор

 Diablo
miroz писал:

он тоже заломан . юзают зараженные домены , как балк хосты для следующих заражений =|
тот же хакер короче , или бригада , что и ат3-атх ломали .

 von Stoltz
Для 1.6.3 апдейт будет немного позже, апдейт 1.7 -> 1.7.2 тоже делается простой заменой файлов.

 rusawm
лучше отпишите хозяевам этих доменов пускай эти файлы потрут

 Kn
проапдейтился нормально

 von Stoltz
Для тех, кто использует 1.6.3 заплатки здесь:
http://www.ats-project.com/4.rar для PHP4
http://www.ats-project.com/5.rar для PHP5
просто замените файлы

 Burn
обновил файлы АТСа заплатками - код продолжает появляться. Почистил темплаты. Поставил права 555 на файлы и корневой каталог..
Может где-то я его не нашёл и он себя репродуцирует с каждой отработкой крона или ещё хз как..

Может я не соблюдаю очерёдность правильную ??

И когда ставлю Secured на пароль - потом не могу зайти в админку.
приходиться обновлять пасс заменой si.php
в чём может быть фишка?
Никак не могу одолеть эту хрень (((

 Lin
Burn писал:
Так видимо в обновлении пофиксили баг, тоесть не получится таким образом взломать теперь. А если какашка уже сидит на серваке, почистить надо, там выше Soft-Com писал как.

 Burn
код больше не появляется - вроде почистил.
Топ лист отображается - нашёл причину.
Вот на счёт установки секьюрности паролю у меня до сих пор вопросы..
Устанавливаю секьюрность - не могу залогиниться.
подскажите где искать причину этого, плз.

 sllimm
Цитата:
А какие файлы непохожи?
/settings
si
os
ms
mi
is
if
cm
ca
bg

 true
sllimm писал:
mi, bg лишнии

 von Stoltz
Burn писал:
Чтобы зашифровать пароль на файл settings/si.php должны быть права 666 или выше, после шифрования права можно уменьшить.

Как я понимаю механизм взлома, права на файлы установок особой роли не играли, критичной оказалась возможность записи в rules.txt пхп кода, а также добавление трейдера с хитрожопым названием, содержащим вызов ифрейма.
В новой версии, все эти фокусы не пройдут. Но пароль в открытом виде держать все равно не рекомендуется, а также желательно исключить возможность записи в темплейты после их создания, это, кстати относится не только к АТС, но всем скриптам ротаторов.
Необычные пхп файлы - все, отличающиеся от стандартных АТС в корне, а также в папках, где пхп файлов быть не должно: /ipfiles, /logfiles, /tradefiles