Новая тема   Ответить

 supphosting.com
В последние дни все чаще взламываются сайты с добавлением яваскрипта в индексные хтмлки, причем делается это не через FTP, как это было раньше. Ситуация пока выясняется, но более-менее ясность уже есть. Делается это через ATL3! Сначала обращение к admin.cgi, потом два POST обращения к x/x2.cgi и в папке с тумб ротатором (были случаи и со стрим ротатором и смарт тумбс) появляется файл backup.php либо с пхп-шеллом, либо нулевого размера.
Делается это ботом в массовом порядке с айпишки 208.53.158.26
Заражаются разные файлы в разных папках (замечено на html, shtml, php), но не все. Также заражаются не все домены юзера подвергшегося атаке. Вот кусок лога
Код:

После последнего обращения к x2.cgi появился файл backup.php.

Имеется ли дыра в atl3, или пароли были украдены трояном пока неизвестно, но мне кажется проблема в atl3. Сразу у нескольких людей одна и та же проблема, они чистят компы, даже переустанавливают ОС, но проблема все равно повторяется.
Это точно произошло не через ftp, ssh, панель управления.

http://www.askdamagex.com/t21776-p3-we-need-to-talk-security-now.html тут обсуждают эту же проблему. Там же и советы как закрыть доступ к админке атл с помощью .htaccess, также видно что с этой же айпишки и других ломают и уже не один день.
Владельцы серверов с линуксом могут забанить айпишку следующей командой файрвола:
iptables -A INPUT -s 208.53.158.26 -j DROP

Выкладывайте сюда имеющуюся информацию. Надо решать вопрос.

 supphosting.com
...в догонку.
Ищите у себя файлы backup.php (хотя иногда бывают и другие), а на индексных страничках в коде Код:

 miroz
У меня был взломан сайт таким образом, но взломан тот домен на котором не стояло ATL3, но скрипт стоял на другом домене на этом же сервере.
Код был вставлен в некоторые шаблоны AG SQL.
Именно с этого IP.
Спасибо за информацию.

ЗЫ: Нашел у себя этот файл, удалил.

 Figura


Так у тебя на серваке стоит ат3, на другом домене например?

 Figura
Продублирую пост Virusa

Цитата:

 Alexs
тоже стакой фигней сталкивался

тоеж грешил на ATL3 но после того как эта дрянь поевилась уменя на сервере где нет скриптов а одна статика то я пришол к выводу что троян спер пароль

другова обЪяснения нет

 Vlad_S
У меня ATL ваще никогда не было, но в один прекрасный день все индексные паги покоцали. После этого пришлось отрубиль ftpd на обоих серверах и включать по мере необходимости...

 Figura
А я вчера все пароли поменял на серваке.
На ноуте винду переставил и пароли тока на бумажку записал
Через фтп не ходил на сервак.
Так вот вчера как раз, в течении суток, два раза ломанули

 Sha

Я надеюсь ты сначала переустановил винду , а потом менял пароли ко всему и вся ?

 Sha
А этот x2.cgi в бинаре распространяется или как ?

 Figura
Sha писал:

Естественно. Я на 110% уверен, что небыло кражи паролей

 Man
На дедиках - закрывайте доступ по ФТП фаирволом, для начала.
Ну а если уязвимость в самом atl, тут конечно не спасет...

 Sha
Код:
А существующий backup.php и создавшийся это разные разницы ?
А то ведь /sr/bachup.php судя по логам существует до последнего обращения к x2.cgi

PS судя по логам я склоняюсь к тому, что дыра в admin.cgi

 supphosting.com
Sha писал:

Не уверен как создавалось: из admin.cgi или x2.cgi, но время измения файла и время последнего обращения к x2.cgi совпадает.
Сервер был заражен подобным образом и там где был включен файрвол на фтп. На фтп могли зайти только с нескольких ИП, и логи были пустые.

 goodlover
Проблема лечется разрешением доступа к admin.cgi, x2.cgi и т.п. только с определённых ip?

 Figura
http://www.askdamagex.com/showpost.php?p=223023&postcount=66

 goodlover
Ну вот, ситуация уже яснее...

 saaas
при закрытии хтиаксесом этого х2.cgi при открытой форме реги в трейд никто не сможет добавиться с ипа который не прописан в хтиаксесе
вот так вот

 Sha
supphosting.com писал:
А backup.php был в итоге пуст ?
Мне кажется последний вызов x2.cgi мог его просто занулить. После того как им попользовались. Ведь буквально перед тремя вызововами backup.php три вызова x2.cgi

 Sha
Поэтому никогда не стоит ставить скрипты не имея исходников.
Иначе кто не успел залатать тот опоздал.
Кстати а нельзя предъявить разработчику иск ? Ведь скрипт Вы наверное покупали и его дыра нанесла ущерб.

 supphosting.com
Sha писал:
И много ты знаешь аналогов atl3/atx с открытым кодом?
Открытые исходники ничего не гарантируют. Зашитый в Interbase пароль дававший полный доступ к БД нашли только через год после открытия исходников. Тут еще очень большой вопрос что лучше: открытый код, или закрытый.

Sha писал:
Да-да. Автор еще и приплатит за моральный ущерб. Особенно пользователям бесплатного atl3. Всегда полезно читать термсы или лицензионное соглашение, где почти всегда сказано, что софт/услуга предоставляется как есть. Что-то не устраивает - пользуйся другим.

Количество исправленных багов влияет только на их четность, но не на оставшееся их количество.

 Sha
С юридической точки зрения распространителю даже бесплатного вредоносного софта можно предъявить претензии. Термсы не спасут если код не открытый.
А открытые исходники гарантирют то, что ошибки пользователь может самостоятельно найти и исправть. Причем ДО того как ими кто-либо воспользуется.

 Core
Sha писал:

предяъвишь майкрософту иск за дырки в экплорере?

 Sha
Core писал:
Им можно предъявить иск по линии защиты прав потребителей. Это если умысел не будет доказан.

 Teval
тоже задницу себе прикрыл
спасибо за хороший топег