Новая тема   Ответить

 Wskeal
Вчера пытался установить Прогресс, запустил инсталл.пхп, файлы скачались на мой серв, запускаю админку, вылезла ошибка Fatall Error. Погуглил, выяснилось что ошибка бывает если файлы скопированы не в бинарном режиме. Вобщем искал почему так происходит и увидел в коде progress/index.php айфрейм с каким-то кодом, ссылающимся на kickass...

В моих прогрессах которые я ставил раньше, в индекс.пхп такого кода нет нигде.

Хорошо что индекс.пхп так и не загрузился, а то бы и мой серв поймал что-нибудь.

 Woland
В принципе вполне возможно, что это твой сервер дописывает во все index файлы этот фрейм (что и приводит к ошибке протона) - я бы проверял обе версии на твоём месте.

 Woland
Проверил у себя на сервере, проверял на протоне - да, файл proton/index.php имеет скрытый ифрейм, явно на какой-то левак.

Очень бы не рекомендовал ставить или апдейтить протон, прогресс (и вот на счёт пульса не уверен, у него вроде другой сервер, но я не проверял) пока его не починят.

p.s. У кого есть контакты килдозера - пните его, плиз.

 Woland
Пульс тоже ебанули

http://www.askdamagex.com/f2/scriptpulse-tradepulse-iframe-infection-39449/

 Kildoozer
Разбираемся, позже дам знать.
Какая-то мразь вставила во все index*.* файлы ифрейм (не знаю что внутри него, не смотрел еще). На работоспособность самого скрипта (ин + аут) это повлиять не может, на админку - да.
Пока прошу не инсталлировать скрипты эти.
Как все выясним - отпишусь.

 Woland
Kildoozer: Логи помониторьте тоже - часто эта лажа существует в виде закладки и прописывает всё тож самое через время по маске во все файлы (был такой помню праздник на серваке, заебались чистить).

 Stek
хех, а в соседнем топике как раз спрашивали чем трафик с 10к сайтов проанализировать

 Nikola
Ифрейм же только при инсталле\апдейте ставится?

 Wskeal
Nikola: Да

 SAV
Stek писал:
сломать смогли, а чё делать дальше не знают х)

 Maxik
Ну например сегодня апдейт вышел, но вот если проапдейтится, не будет iframe грузиццо?

 mickey
уже вроде 1 раз был такой взлом

 TTT
sawm писал:
не взлом был, домен проэкспайрелся, соответственно протон пытался обновляться с фида
как-то так.

 Maxik
Не помню, чтобы протон ломали, другие скрипты помню, протон - не помню. Вообщемто если дырка залатана, сервер починен, можно было и отписать, что мол апдейт не навешает ифреймов на Ваш сайт, бла бла бла... Хотя протоновском на форуме отписали, но он же мертвый, его никто не читает помойму уже...

 Nikola
Эээ, пофиксили или нет?

 Alt76
Я не пойму одного?
Что Килдузер не может сделать зип архив и по крону сверять его с другим зип архивом на другом домене. Чтобы если что то изменилось, то ему стукнуло? И сразу был заблокирован апдейт!

Что принципиально решить нельзя? ну уже ни раз и ни два ломали!

 Chroino
Не понятно, можно уже ставить протоны ?

 tot123
только я не обновлял скрипт протона, ни ставил по новой,
в данный момент горит обновление.

пришло от админов, сервак постоянно падал в течение пары дней

Код:

Он переименовывал бинарный файл /home/clients/ftp0/domains/mydomen/html/streamrotator/backups/20090603200349u/files/img11.jpg в httpd, запускал его и удалял.
Вам необходимо провести аудит скриптов ресурса, так как скорее всего файлы были закачены по http

 Maxik
бля, и я у себя такой процесс обнаружил

 Nikola
Chroino писал:

И прогрессы

 megreep
у меня сцуко в progress/index.php был врезан iframe с линком на offiget.ru

 Maxik
Крон исправил, и строчка больше не появляется, это гут. А как увидеть, есть ли ифрейм на морде? Захожу к себе на сайт сам - ифрейма не вижу.

 megreep
у меня если посомтреть исходник index.php был в коде этот ифрейм

 Maxik

Ну а там же зазендено все... Чем смотреть?

 megreep
у меня оригинальная копия папки прогресса была - просто скопировал и все. просто понять не могу откудова сцуко залез ифрейм - вроде бы периодически пассы меняю все, а вот на те пожалста...