Новая тема   Ответить

 Parker
Список всех стандарных файлов не помешал бы.

Если удалить содержимое папок ipfiles и logfiles это будет критично для работы сиджа?

 von Stoltz
Список стандартных файлов в дистрибутиве, при установке в корне создается еще index.php и im.php. В папке settings при установке создаются ca, cm, if, is, ms, os, si.
Это все, остальное к АТС отношения не имеет.
Удаление ipfiles и logfiles или поддиректорий критично, делать этого крайне не рекомендуется.

Последний раз редактировалось: von Stoltz (09/11/08 в 21:47), всего редактировалось 1 раз

 Burn
von Stoltz писал:

Так в том то и дело, что права на si.php - 666, засекьюрить то пароль удаётся.
Но в следующую сессию я залогиниться под старым паролем не могу.
Цитата:
и хоть ты тресни.
Приходиться снимать секьюрность пароля обновляя файл si.php

И ещё меня очень беспокоит что через раз появляется следующее при входе в админку:

Цитата:
При повторной попытке зайти - логиниться нормально.
что-то не так в is.php ?
Как это исправить тогда?

 Soft-Com
Burn писал:

это происходит если в настройках php стоит опция:

Код:

а скрипт пытается изменить хедеры через header()

фактически на этот ворнинг вообще не надо внимания обращать.

 Burn
Спасибо, с этим ясно.
Осталось только решить проблему с секьюрностью пароля.
Щас мне приходиться везде её снимать.

З.Ы. Кстати. У всех всё нормально с продой после чистки темплат, рулезов, установки заплаток и прав 555? У меня что-то никак не оклемаются.. прода 30-40 говорит о том что проектам пришел 3,14здец если ничего не изменится в ближайшие сутки.

 mopani
von Stoltz писал:
Мне, кстати, еще писали в файл im.php.
Он ведь воздается при инсталляции с правами 666 и владельцем апачем.

 Burn
мда, проверил - и точно сидит там.
на него тоже установить права 555 ?
Это не помешает работоспособности?

 mopani

На файл im.php права нужно 444.
Но не забудь вычистить бяку от туда.

 Burn
угу, вычистил.
насколько я понимаю он должен максимум 48б весить.

 von Stoltz
Нормальное содержание im.php такое Код: Права на него тоже 444 можно поставить.

Burn:
У тебя с конфигурацией сервера что-то не то, и варнинги эти и невозможность пароль зашифровать - это из одного места ноги растут.

 Burn
Ок, буду говорить с админом сервака.


P.S. на файл settigs/is.php ставлю права 444 - надеюсь это не помешает работоспособности?

 SamsonS
а что с TML? а именно права доступа к темплею?

 von Stoltz
Еще очень важно: уже 2 человека поставили права 444 на ВСЕ файлы в папке templates, а потом постучали мне и сказали, что у них тумбы не крутятся. Так вот, 444 ставить нужно ТОЛЬКО на файлы с расширением .tpl

 BigBro
и проверьте index.php - он оказался размером за 500Кб (хотя оригинальный менее 50 б), и был загажен даже на тех сиджах, где активность ифреймового пионэра замечена не была.

 true
вчера сделал апдейт
все ок было до сегодняшнего обеда
данные по текущему часу только нарастают но не сбрасываются
крон работает нормально

что может быть ?

 von Stoltz
Я думаю, к апдейту это отношения нет имеет, иначе проблема возникла бы сразу же. Если до завтра не исчезнет, постучи в аську, будем разбираться.

 Burn
index.php - на него 555 права вешать?

Последний раз редактировалось: Burn (10/11/08 в 22:54), всего редактировалось 1 раз

 Burn
и ещё.
в папке settings иногда появляется файл bg.php
при попытке удалить - кричит что невозможно, после обновления файла уже нет.
Это так надо или это часть этого злобного скрипта?

 NetSpider

часть злобного скрипта, я перехватил этот файл, вот он:
http://rapidshare.com/files/162961660/copyofhackersfile.rar.html

 mopani
А может кто-то подробнее объяснить механизм взлома?
Как какой-то левый ифрейм на левом сервере получает права апача на моем сервере?
Считаю, что это нужно понимать чтобы обезопасить себя в будущем при написании своих скриптов.

 color

добавляется в базу трейдеров вроде, при заходе в админку скрипт дергается из под апача, инфицируется сервер (от апачевского юзера).

 von Stoltz
1. Ифрейм добавляется в базу трейдеров. 2.При захде в админку модифицируются трейд рулесы, туда добавляется пхп код. 3. Запуск этого кода позволяет писать что угодно и куда угодно. Вот примерно так, как точно, знает только автор этого беспредела. Апдейт блокирует первый и второй пункт.

 old_fly
у меня темплейты на 1.7.2 везде попортили, вставили код. причем тег body потерли. (права на темплейты не выставлял 444). Теперьв от везде выставляю. (на рулезах уже стояли до добавления вредоносного кода 444)

 von Stoltz
Видимо, не все потер, где-то на сервере бяка осталась. Ставьте 444 на темплейты на всякий случай. Проверь еще раз содержимое папок ipfiles, logfiles и подпапок.

 old_fly
А можно все решения для вычищения в одном посте написать? А то все разбросано.

Мои админы мне пишут: "В данный момент это бесполезно, так как бекдор находящийся на вашем сервере, все равно заражает файлы. Сейчас мы занимаемся его поиском, если вы заметите какие либо незнакомые и подозрительные файлы php пожалуйста сообщите."

Мне бы хотелось ускорить процесс, напишите плз по пунктам как что чистить. С утра уже борюсь... с гавнокодом.

пятница пошла вся крахом