Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
CJs
»
Тема:
Взлом TradePulse
Новая тема
Ответить
цитата
24/11/11 в 07:19
CraZ
Kildoozer писал:
Есть несколько файлов, которые чаще всего используются для шеллов. Причем рсполагаются они вне папки tp:
.php (без имени)
crond.php - обычно лежит в папках внутри 'st'
ssi.php - аналогично.
Но, как сами понимаете, могут использоваться и другие имена файлов. Особенности:
1. имя *.php - это понятно
2. содержит либо
eval(base64_decode
( во второй строке,
3. либо зазенденый файл, ищите подстроку
halt_compiler()
,
4. либо закрытый ионом, ищите к примеру
_il_exec
В пульсе есть сканер файлов, который проверяет ВСЕ *.php файлы внутри tp на принадлежность к скрипту и на соответствие чексуммы файлов последней версии.
как этот сканер запустить, чет не вижу ? или билд новый надо
цитата
24/11/11 в 14:17
Дольчик ххх
Noobus Boobus писал:
Реально рекомендую поставить чистую инсталляцию в отдельную папочку, а потом сравнить рабочую диру tp с чистой:
Установил на новый домен новый скрипт, и сравнил уже с рабочим и нашел вроде лишние файлы в рабочем скрипте:
tp/cron.last
tp/crontest.php
tp/ic_check.php
tp/in.php
Их что можно смело удалять ? или необходимо
Kildoozer писал:
надо скачать updater.zip, и залить его содержимое в папку /tp/
как луче поступить ?
цитата
24/11/11 в 14:19
Дольчик ххх
П.с. вроде редиректа и что трафик куда в другое место отправляет не замечаю
цитата
24/11/11 в 14:49
Kildoozer
Дольчик ххх писал:
Установил на новый домен новый скрипт, и сравнил уже с рабочим и нашел вроде лишние файлы в рабочем скрипте:
tp/cron.last
tp/crontest.php
tp/ic_check.php
tp/in.php
Их что можно смело удалять ? или необходимо
как луче поступить ?
Это наши файлы, не надо их удалять
цитата
24/11/11 в 14:50
Kildoozer
CraZ писал:
как этот сканер запустить, чет не вижу ? или билд новый надо
Он появился в 40м билде, меню Tools -> Scanner
цитата
25/11/11 в 08:19
Barkley
Обновил на двух сайтах пульс до Version 1.0.7 build 41
Проверил сканером, везде выдало вот это:
Wrong files
tp/crontest.php File has renamed to tp/crontest.php_
tp/in.php File has renamed to tp/in.php_
tp/data/algos/TradePulse/backup.php File has renamed to tp/data/algos/TradePulse/backup.php_
Значит все-таки подломили?
цитата
25/11/11 в 12:55
CraZ
у меня пока 35-й билд. и там они как переименовало у тебя выглядят. у тебя может вообще древний билд был ?)
цитата
25/11/11 в 13:13
Noobus Boobus
Еще один способ замаскировать это решето при помощи .htaccess:
<FilesMatch out.php>
Allow from all
</FilesMatch>
<FilesMatch img.php>
Allow from all
</FilesMatch>
<FilesMatch filter.php>
Allow from all
</FilesMatch>
<FilesMatch trade.php>
Allow from all
</FilesMatch>
<FilesMatch ssi_in.php>
Allow from all
</FilesMatch>
Allow from your.ip.add.ress # сюда ваш основной айпи для доступа
Allow from server.ip.add.ress # сюда айпи сервера для статистики сети
Deny from all
Если тумбы раздаются апачем, можно в thumbs написать что-то такое:
<filesmatch "\.(jpe?g|gif|png)$">
allow from all
</filesmatch>
цитата
25/11/11 в 13:16
Noobus Boobus
Barkley:
Насколько я помню, правильный файл называется ssi_in.php (http://scriptpulse.com/tp/manual/incoming-trackers.php)
Есть еще проверка: попробовать зайти на этот файл напрямую браузером. Если там вот такой код, то это гарантированно вебшелл:
Код:
<pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>
цитата
25/11/11 в 18:03
CraZ
протестил сканером все сайты. везде чисто. стоит сапорт дергать чтобы проверили шелы эти лии как там ? ))
цитата
25/11/11 в 18:09
newuser76
Kildoozer писал:
Это наши файлы, не надо их удалять
килдозер, объясни, пожалуйста, (ошибся с версиями) Version 1.0.7 build 41 - сейчас эта, отключена. вставка в морду инклюда, либо тоже самое через хтасесс, начало вызывать тормоза при загрузке страницы. проверял обе версии пульса - с разными кодировщиками. протон на тех же серверах не тормозит.
Стр.
« первая
<
1
,
2
Новая тема
Ответить
Эта страница в полной версии