Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
CJs
»
Тема:
Взлом TradePulse
Новая тема
Ответить
цитата
12/09/11 в 13:31
Soft-Com
Уважаемые АВМы, рекомендую проверить на серверах наличие файла inc_js.php - пхп шелл, который мог появится на сервере вследствие обновления трейдпульса.
искать можно так:
locate inc_js.php
или
cd /PATH/TO/WEB/CONTENT
find ./ -name inc_js.php
если есть - то желательно отписать в личку, нам нужно собрать инфо по взлому.
цитата
12/09/11 в 14:23
Noobus Boobus
У меня не нашло.
А в каком смысле "вследствие обновления"?
цитата
12/09/11 в 14:39
Soft-Com
Нужно удалить файлы, заменить filter.php, updater.php из свежего инсталла.
желательно предоставить нам аксес логи фронтенда.
если на сервере небыло защиты ssh/ftp/админок - проверить версию ssh
цитата
12/09/11 в 14:48
Kildoozer
25го августа нас 'обновили'. Кто успел обновится в это время, получил filter.php с подгрузкой какой-то рекламы, + пропатченный апдейтер, который не обновлял filter.php.
Чтобы исправить ситуацию, пострадавшим надо скачать
updater.zip
, и залить его содержимое в папку /tp/
Завтра я планирую выложить 30й апдейт, в котором:
1. Все файлы для апдейтов будут браться из амазоновского хранилища S3, доступ к которому есть только у меня. То есть подсунуть фейковые файлы для апдейта злоумышленникам будет невозможно.
2. Автоматически убьется файл tp/inc_js.php, если он есть. Есть он далеко не у всех, логика его выборочного появления мне не ясна.
Найти пидора который влез на наш сервер пока не получается, следы ведут на сервер cgi.bz (хостится на русском хостинге), и к партнерке с акком
http://www.clayaim.com/index.php?ref=webex
Абузы отписал, но что толку от них...
цитата
12/09/11 в 14:55
Alexandur
Kildoozer писал:
Найти пидора который влез на наш сервер пока не получается, следы ведут на сервер cgi.bz (хостится на русском хостинге), и к партнерке с акком
http://www.clayaim.com/index.php?ref=webex
Абузы отписал, но что толку от них...
О, знакомые лица.
(Лечение!) Ахтунг атакуют топы или дыра GB Top
.
цитата
14/09/11 в 21:18
Noobus Boobus
Kildoozer:
Была бы крайне полезна утилита для проверки хешей файлов.
цитата
22/11/11 в 15:28
Noobus Boobus
Если бы только inc_js... Реально рекомендую поставить чистую инсталляцию в отдельную папочку, а потом сравнить рабочую диру tp с чистой:
$ diff -qr /path/to/clean/tp /path/to/working/tp | grep php
Там целый зоопарк, нахрен. А я, дурак, это говно покупать собирался.
цитата
22/11/11 в 16:03
newuser76
год на пульсе сидел. попрощался после очередного апдейта, когда вставка инклюда, что через хтассес, что напрямую в страницу на двух разных серверах начала давать серьезные тормоза при отрытии сиджа с любого адреса(страны).
протон, кстати этим не начал страдать, не смотря на апдейт, но если бы килдозер вместо плакаться о том, что протон его личный продукт и ему его интересней продавать, чем пульс, хоть немного довел его до современных реалий - лучший трейд-скрипт был бы.
цитата
22/11/11 в 20:54
Retox
Kildoozer это не коснулось Progress или Proton ?
цитата
22/11/11 в 20:57
Ara Man
вроде нет
цитата
22/11/11 в 21:41
GIVI
Ara Man:
это ты так думаешь
а я уже сношу все
цитата
22/11/11 в 21:49
Ara Man
100% нет
цитата
22/11/11 в 21:59
Kildoozer
Протон и прогресс расположены каждый на своем сервере, и взломаны НЕ БЫЛИ.
Взломали (в августе) сервер моего партнера по Трейд-пульсу. Сразу же после этого я перенес все файлы пульса на амазоновское хранилище S3, то есть в данный момент угрозы повторного взлома быть не может никак.
цитата
22/11/11 в 22:07
Soft-Com
Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.
как временное решение (для неаврального перехода на другие скрипты
) - отключение функций
disable_functions = "popen,exec,system,passthru,proc_open,shell_exec" ...
но часть функционала скриптов может нарушится, а включение open_basedir в данном случае никак не поможет.
Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!)
цитата
22/11/11 в 23:16
Barkley
Soft-Com писал:
Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!)
А можно поподробнее как это сделать?
цитата
23/11/11 в 00:11
Noobus Boobus
Кстати да, 109.201.
цитата
23/11/11 в 10:25
Kildoozer
Soft-Com писал:
Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.
У нас НИЧЕГО не осталось из бяки. Все обращения со стороны админок за новыми файлами идут исключительно на амазон, там все чисто и подмены файлов быть не может технически. Повторюсь, это относится только к пульсу, протон и прогресс никак не пострадали так как находятся на наших собственных серверах.
Если что-то и осталось, то на серверах пользователей, и я сам, лично, вычищаю серверы клиентов по мере обращения ко мне с такими просьбами.
Если разом вычистить все шеллы с сервера и обновить копии пульса до последней версии - ничего больше не появится. Никакого 'взлома структуры апдейтов' нету уже 2 месяца как.
цитата
23/11/11 в 10:33
CraZ
еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного.
цитата
23/11/11 в 11:33
GarryBarry
проверяйтесь ребята, нам два дня делали подмены файлов, меняли in.php стрима, инклудили свое говно в темплейты линкорганайзера и т.д.
цитата
23/11/11 в 12:43
Barkley
Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика?
цитата
23/11/11 в 12:53
Noobus Boobus
Kildoozer:
Я хотел бы напомнить, что два года назад я нашел XSS в форме заявки на трейд, о чем сообщил по аське. Это было закрыто
через полгода
, хотя проблема лечилась добавлением одной функции в обработку параметра. Теперь взломали сервер обновлений (!). Все это говорит об абсолютно наплевательском отношении к безопасности, причем появление XSS в скрипте, в котором
только одна форма
, это 3.14здец полнейший.
Нет никаких гарантий, что "ничего больше не появится". Я, конечно, восхищен, что скрипт "уже 2 месяца как" не ломали, но на фоне такого урона репутации еще и в два раза повышать процент отобранных кликов - это просто супер.
DrumNBreaks:
Кстати спасибо, в стрим тоже положили %)
CraZ:
Поставь на новый домен чистый пульс, а затем сравни директории чистого и проверяемого на предмет файлов php,phtml итд, которых нет в чистой установке.
цитата
23/11/11 в 12:53
Kildoozer
CraZ писал:
еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного.
Есть несколько файлов, которые чаще всего используются для шеллов. Причем рсполагаются они вне папки tp:
.php (без имени)
crond.php - обычно лежит в папках внутри 'st'
ssi.php - аналогично.
Но, как сами понимаете, могут использоваться и другие имена файлов. Особенности:
1. имя *.php - это понятно
2. содержит либо
eval(base64_decode
( во второй строке,
3. либо зазенденый файл, ищите подстроку
halt_compiler()
,
4. либо закрытый ионом, ищите к примеру
_il_exec
В пульсе есть сканер файлов, который проверяет ВСЕ *.php файлы внутри tp на принадлежность к скрипту и на соответствие чексуммы файлов последней версии.
цитата
23/11/11 в 13:05
GarryBarry
Barkley писал:
Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика?
вот как было у меня: если вы недавно делали апдейт стрима и обнаружили что он снова просит апдейта и апдейтится только один файл in.php значит это попадос.
причем со своего нидерланд айпи на сайте не было ничего подозрительного. подсказал один из трейдеров, он обнаружил редирект для американского айпи, за что ему было сказано спасибо
ну это один из случаев. какие еще скрипты могут поломать хз
цитата
23/11/11 в 15:35
Noobus Boobus
Мне клали еще phtml.
цитата
24/11/11 в 07:13
CraZ
будем смотреть, пока не понятно почему не горит надпись что можно обновиться, стоит Version 1.0.6 build 35 а уже новых смотрю куча
видимо по этому? над ставить на сервак это ?)
This build can't be installed because you haven't latest IonCube Loader installed on the server
Стр.
1
,
2
>
последняя »
Новая тема
Ответить
Эта страница в полной версии