Новая тема   Ответить

 WorldTraffic
saaas писал:

были взломы де стоял смарт + at3 так что скорее всего at3 дырявый на все 100
плохо что арова не хрена не делает

 Gourad
geCTP писал:
И после этого удалить волшебным образом из логов обращения к стриму и оставить только к ат?

 Doctor
doomed писал:

здание, здоровье, здесь...

чего ты не видишь-то?... русским по белому написал, в логах обращение к x2.cgi, после чего появляется бекап.пхп и вставляется ифрейм... айпи атаки как и в прошлые разы - виртуал из Эстонии...

а топик этот появился, не потому что "опять сломали", а потому, что везде был 16 билд, который как бы пофиксили уже...

пысы: стрим не юзаю...

 FatMike
Док.. сайнап формы на момент взлома открыты были? или форму уже не задействуют и идут напрямую к x2.cgi ? После того как пропатчился до 16 билда проверял сервер на возможные "хвосты"?
Супорту ат3 будеш писать?

 Doctor


Майк, формы были открыты... x2.cgi хтаккесом не заблочен, думал что пофиксили все-таки... смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно... сейчас x2.cgi закрыты хтаккесом, формы, соответственно, тоже... атаки продолжают идти судя по логам, но взлома нет...

Последний раз редактировалось: Doctor (04/01/08 в 21:14), всего редактировалось 1 раз

 FatMike
Doctor писал:

Да.. я это имел ввиду.

Вобщем уже очевидно что нужно закрывать доступ к файлам со всех айпи кроме своего и как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.

 bullet2
Ziegfrid писал:
Если atx больше не нужен, то могу купить.
За вменяемую цену.

 Gourad
FatMike писал:
Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.

 DiamonD
16 билд точно исправил возможность добавлять в трейд хитрые строки, с помощью которых можно было узнать пароль в админку.. Автор скрипта даже переборщил чуток, убрав "-" из возможных символов имени добавляемого домена.. Так что старым способом невозможно добавить никакого backup файла..
А если админку закрыть htaccess, то все будет работать нормально.. Не надо из мухи слона делать..

 zteam
Gourad писал:
Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж. А если диру спалит где-то публично, то кодер ломающего скрипта просто добавит её в список дир для перебора.

 Gourad
zteam писал:
Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.

 FatMike
Gourad писал:

Да нет..конечно я имеел ввиду что при таком подходе форма будет не только закрыта но и никакого линка на неё не будет..т.е будет пага с рулесами и асей..всё..кто хочет стучиться и добавляеться вручную...ну и на аут уход через ротатор.. тут на самом деле с топом больше сложностей будет..плюс.. есть наверняка какието ещё способы узнать в какой директории трейд скрипт стоит..я в таких вещах не силен но наверно можно будет пропалить куда аут ротатора редиректит..но я это чисто как дополнительный способ защиты от хака привел..не как панацею.. ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..

 zteam
Ну это ж ещё ходить по сиджам надо и смотреть глазами эту директорию, если конечно скрипт не написать, собирающий эту инфу. Но зачем напрягаться, если есть куча сиджей, где скрипты стоят в стандартных дирах аля /cgi-bin/at3.

 zteam
FatMike писал:
Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось

 Gourad
zteam писал:
имхо надо прикрывать доступ ко всем файлам до которых не нужен доступ с веба.

 Revival
мне не много не помогло все что тут было описанно..после удаления и т.п. файлы через час востанавливались, видело хакерок начал ручками смотреть тех кто мог поправить. Помогло только то что снял права 777 ( с всех файлов что могли как-то помочь взломать меня еще раз).

 sir.korvin
Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?

в .htaccess доступ к x2.cgi закрыт, везде билд 16. Ломают один и тотже сидж magic-cocks.com, рядом еще несколько лежит. На всех стоит 777.

Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

 Gourad
sir.korvin писал:
закрывать доступ ко всем файлам до которых не нужен доступ с веба.

 Insert
Народ. Можно показать хтассесс, который решит проблему?

 Gourad

Я увы не могу у меня нет АТ у меня всё переведено на протон и закрыто конфигом нгинх. Но ты можешь глянуть к каким файлам идет доступ через веб и исключить их из списка запрещенных.

 shahfil
sir.korvin писал:

Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.

 sir.korvin
shahfil писал:

У меня небыло его вообще. У меня прошлого раза небыло, как только пошла волна хаков я сразу закрыл x2.

shahfil писал:

в .htaccess

<FilesMatch "(.cgi|.php)">
Order Allow,Deny
Allow from 10.10.10.10
</FilesMatch>

<FilesMatch "(out.cgi|out.php|index.php|signup.cgi|in.cgi|in.php)">
Order Allow,Deny
Allow from all
</FilesMatch>

 Gourad
sir.korvin писал:
имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка.

 sir.korvin
Gourad писал:

a) Доступ к папкам с данными АТ3 закрыт самим АТ3. С ним идут свои htaccess файлы который лежат в нужных папках.

b) В строчке "Allow from 10.10.10.10" открывается все для твоего адреса

 inSect
sir.korvin вычистил сервер ? У меня админ нашел файл ns.php в папке с топлистами АТЛ. НА многих сиджах непонятные провалы траффа и в добавок сегодня увидел, что хистори В АТЛ считается с провалами - какие-то дни выпадают, причем на разных сиджах по-разному, хотя закономерности есть. Вот уж этого вообще не пойму.