Новая тема   Ответить

 Doctor
В общем ситуация такая же, как и в прошлые разы... backup.php появляется, меняется темплейт и несколько пхп файлов - вставляется кодированный ифрейм... на всех сиджах на серваке стоял 16-й билд под федору 5... фтп тока на мой айпи настроен, так что этот вариант исключается, ssh - тоже... x2.cgi не был заблочен, 12 обращений к нему в логах с айпи 195.5.116.250... сейчас x2.cgi заблочил, поглядим что будет...

ну и самое интересное... код ифрейма:

Код:

после перекодировки получаем:

Код:

сидж товарисча pns, который вот тут утверждает, что инфо домены лучче всех - Как народ относится к зоне .info?

по приведенному топику очень похоже на подставу, но чем черт не шутит... ... в общем очень бы хотелось услышать каментов от товарисча pns

 pns
срочно разбираюсь..

....

первые итоги.

Этот "вирус" создаёт каталог с именем "z" в дире sr
и файлы backup.php backups.php в корне каталога sr .

Внутри z лежит следующее:
Код:

Полный код ex.php
Код:

В ex.html лежит бинарник под MSDOS -- это файл, видно, и выкачивают на комп юзера с зараженной веб-страницы.

Последний раз редактировалось: pns (03/01/08 в 14:32), всего редактировалось 1 раз

 Doctor
не поленитесь, отпишите владельцу хоста, с айпи которого всех поломали - http://esthost.eu/rus/contact/

пысы: к scr хост не имеет отношения...

 Doctor
pns писал:

ищи в логах домена обращения к x2.cgi

 Doctor
ну и кого ломали раньше, не поленитесь сделайте комманды

locate backup.php
locate static.php

потому как походу наличие файла backup.php позволяет ломать даже с заблоченым х2... да и кладет его пидарасина теперь не в корень...

 pns
вот оно где зарыто!

конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.

locate ничего не нашёл, зато поиск в mc выискал всех уродов.

StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".

Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.

 MaxLester
Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.

 DiamonD
А не http://web.compic.ee/ru/ принадлежит 195.5.116.250 айпи?
Давайте не поленимся абузу накатаем, я это уже сделал..

 Sha
MaxLester писал:
Проблема в том, что это далеко не оффтоп.

 pns
вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.

уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.


вопрос не в конкретных дырах софта, а в тенденции.
Представим, что лёгкие дыры в ATL3/ATX закрыли. Куда хакеры двинуться? В сторону тех скриптов, которые сейчас на фоне AT выглядят "надёжными". И превратятся тогда "надёжные" в "гов#$%енные".

 X-dream
Цитата:

я как юзал билд 10 (на многих сайтах) так и юзаю...... и похуй мне на всех хакеров... сломать могут любого лишбы желание было :)

 Sha
pns писал:
Кто сказал, что бесполезно биться головой об стену ?
Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.
Я бы вообще не преследовал хакеров. Если Ваш софт падает от "наездов" - виноват программер, а не кто-то ещё. Вся борьба с хакерами адвертится и финансируется бездарями вроде микрософта, которые продают некачественный софт и пытаются переложить ответственность на кого-то.

 sir.korvin
У меня тоже с 16 проблема. Прочитал тему и полез смотреть, вижу в sr папке backup.php который сканит все файлы, но на этом вроде все.

Взлом сегодня, судя по дате. Логов нет...

Блять, опять закрывать форму?

 Sha
Кстати, если дело только в скрипте сабмита, то мож его просто переделать самим ? формат базы трейдеров известен ?

 sir.korvin
Да, формат известен, все открыто. Надо посмотреть, реально ли это

 sir.korvin
У меня ссылка в iframe на такойже static.php только лежит он на 15den.com

 Ziegfrid
У меня осталось три копии ат3 и одна атх. Ничего не сломали слава яйцам. Хотя там htaccess были. Завтра встану и все переведу на другие скрипты. Как бы не хвалили его почитатели и не защищали, но настоебенило уже.

 doomed
Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.

Для истериков:

pns писал:

pns сам оставил дыру еще с прошлого раза.

 Twich
Sha писал:

Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.

 sir.korvin
doomed писал:

Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)

 doomed
sir.korvin писал:
Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).

 Gourad
Twich писал:
И нормальную валидацию форм сделать тяжело уже после первого взлома? То что там с тире так это вообще маразм.

 saaas
А никто не заметил что у всех кого поламали стоит стрим ротатор?
Так что может не туда капаем а?

 goodlover
Но запросы шли на файлы at3 а не стрима.

 geCTP
а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?