Новая тема   Ответить

 von Stoltz
В общем, срочные меры такие: 1. Закрыть авторегистрацию трейдеров; 2. Поставить права 644 на темплейт и файлы установок; 3. Зашифровать пароль. На выходных выложу апдейт, который закроет дырку.

 Project
Ребят, а какую версию АТС ломали? Отпишите подробнее??

 Pashich
1.6.3 у меня

 Project
Чорт... нада закрываться...

 Gidz
у меня 1.7.1

и еще может не в тему.. постоянно стали выскакивать сообщения при первом заходе в админку сиджа, при второй попытке все ок.

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 32

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 38

 AdBizWork
У кого АТС со Стримом - проверьте шаблоны в ротаторе, там в конце код ифрейма!

 supphosting.com
Gidz писал:
У кого такая херня, значит бэкдором заразили сервер с помощью пхп-шеллов. Поможет только зачистка всего сервера. Надо делать поиск по содержимому с поиском 3C69667 и 202069662 и последующим удалением всего непотребного.
Кто не умеет сам, за небольшую плату помогу.

 AdBizWork
(потёрто)

 Lin
блин, тоже такая хрень ((
причем капча у меня была включена и трейдеров никаких не добавлялось....

 Soft-Com
слёзно прошу - дайте аксеслоги апача(нгинкса) поломанных доменов, 99.999% что ломают скрипт через фейкового реферера или query_string, это лечится банальным хтаксесом.

 Lin

стукни в асю как появишся, скину логи

 Parker
Вопрос по темплейту, от тех кто ещё не зацепил, но сохраняет бдительность. Имеется ввиду темплейт топлиста?

 Next
Оффтопик: Ну вот и до АТС добрались хацкеры поганые

 Project
Parker писал: Я так понял, что именно про темплэйт топ-листа речь...
P.S. Нада уже похоже на платные скрипты переходить...

 AdBizWork
to Project
А платные не ломают ?

 color
Дырка в ATX, вроде не боян...

 Project
AdBizWork писал: Из-за меньше популярности вряд ли скоро начнут ломать...

 Parker
То есть, вредоносный php скрипт - это улрл трейдера который после добаления в топлист делает бяку? Прикольно.

 color

не совсем урл трейдера вроде... как то хитро добавляется... возможно как аська.... пока еще не разобрался. понятно только что при заходе в админку он дергается и заражается сервер.
а может у всех разными способами добавлялся, не знаю ) пока вот один способ только наблюдаю

 vlad3d
ага у меня ломанули 1.7.1 нашел в трейд рулезах.

 Parker
Цитата:
В общем ответ на мой вопрос найден.
Одним топлистом дело не обходится.

 color
с разработчиками ATS пытался связаться - что то молчат.
То ли не интересно, то ли нет никого )

 vlad3d
не знаю как у кого но у меня с поломанного сиджа лезло в комп вот это
C:\\windows\system32\bratsk.exe хм ща буду копаться в темпе где эта дрянь сидит

 Sergeyka
Расколупайте джаву, определите куда сливается ваш трафик и кидайте арбузы, снесут домен считай их работа в жопу

ЗЫ
закрыто полностью по ипу и поставлена заплата
ниче не сломано

тьфу 3 раза

 Johna
у меня взломали сервер через форму добавления в версии 1.6.3

логи такого плана

ip- - [04/Nov/2008:15:53:12 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:53:47 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:54:07 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:59:00 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"

с этим рефером http://79.135.187.18/ats/ats.php вы заходили в админку

у меня 870 файлов было заражено