Попытки залогинитьcя в АТЛ под user/pass, страница 3

Master-X

Регистрация | Вход

Форум | Новости | Статьи

Главная » Форум » CJs »

Тема: Попытки залогинитьcя в АТЛ под user/pass

Новая тема Ответить

цитата
12/03/08 в 18:45

Kitaa
Это до этого обсуждалось как он вставляет, гдето то топик был. А так на шаблоны лучше поставить 444.

цитата
12/03/08 в 22:52

dos622
афтар АТЛ отписал что 17й билд выпустил. но самого дистриба я так и не нашел у них на сайте.

цитата
12/03/08 в 23:12

penelo
Вот такую х-ню нашел сегодня на морде одного из своих сиджей:
Код:

Что бы это значило? Интересность в том, что этот код я вижу с ноута подключенного к инету через ПК, а с самого ПК я его не вижу...
непонятно...

цитата
12/03/08 в 23:42

Kitaa
Это тут много раз обсуждалось поищи топики про взломы ат3. Код после тэга <body> там много пробелов обычно вставляет. (вот один из таких топиков Защищаем свои сиджи от взлома )
Насчет 17 билда там же написано что он на подходе, а не вышел еще.

Последний раз редактировалось: Kitaa (12/03/08 в 23:45), всего редактировалось 1 раз

цитата
12/03/08 в 23:45

beto
penelo писал:

Вот такую х-ню нашел сегодня на морде одного из своих сиджей:
Код:

цитата
13/03/08 в 18:39

-=SabMyth=-
Говорю слова благодарности товарищу Soft-Com.
Быстро откликнулся на мою проблему, всячески мне помогал и помогает. Спасибо тебе огромное

цитата
13/03/08 в 19:08

Soft-Com
судя по всему есть еще один метод вытягивания логина и пароля к АТ3/АТХ.

суть метода:
1. сделать подставной запрос на http://domain.com/cgi-bin/in.cgi с реферером необходимого формата, а реферер - заенкоденый тот же самый троян

2. тупорылый in.cgi ебанутого АТ засовывает этот клик в нотрейд-траффик

3. человек, проавторизовавшись, заходит св страницу просмотра нотрейд трафика, и троян дампит куки на определённый адрес.

как это обнаружить:

в админке в notrade траффике если есть заходы типа
http://alfaporn.com/?"%26gt;%26lt;script%26gt;document.write(unesca…6d%65%6...

значит вам засадили трояна в админку

как лечить - фактически никак, но можно грохнуть статистику (или некоторые записи) из файла статистики, например
cgi-bin/at3/l/in/072-18-36
и т.д.

цитата
13/03/08 в 22:34

Soft-Com
неплохо работает такой вариант защиты:

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]

цитата
14/03/08 в 00:20

supphosting.com
По-моему тут спасет только гильотина. 4 месяца ломают серваки один за другим, а автор и не чешется.

цитата
14/03/08 в 10:11

Project
Да и дыра-то глупая какая-то...
Все бля просто до гениальности...

2 Soft-Com еще раз РЕСПЕКТ!
Ты просто монстр!

2 supphosting.com точна! Я уже на выходные наметил план сноса атл! Заиппала его дырявость просто вусмерть!

цитата
14/03/08 в 10:22

Project
Soft-Com писал:

судя по всему есть еще один метод вытягивания логина и пароля к АТ3/АТХ.

суть метода:
1. сделать подставной запрос на http://domain.com/cgi-bin/in.cgi с реферером необходимого формата, а реферер - заенкоденый тот же самый троян

2. тупорылый in.cgi ебанутого АТ засовывает этот клик в нотрейд-траффик

3. человек, проавторизовавшись, заходит св страницу просмотра нотрейд трафика, и троян дампит куки на определённый адрес.

как это обнаружить:

в админке в notrade траффике если есть заходы типа
http://alfaporn.com/?"%26gt;%26lt;script%26gt;document.write(unesca…6d%65%6...

значит вам засадили трояна в админку

как лечить - фактически никак, но можно грохнуть статистику (или некоторые записи) из файла статистики, например
cgi-bin/at3/l/in/072-18-36
и т.д.

Да, есть такая шняга...
Просмотрел исходник страницы:
Код:

Надеюсь, отключение js перед просмотром предотвратило срабатывание кода...

цитата
14/03/08 в 10:52

Soft-Com
у кого есть дедики - можно проверить статистику (а заодно и сеьюре-логи) на наличие трояна такой командой через ssh:

Код:

cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}'; done

понятно что это нужно делать от рута, или юзера у которого есть rw доступ к контенту всех доменов.

в результате команда выдаст список файлов в которых есть код трояна.

цитата
14/03/08 в 11:39

bullet2
Soft-Com писал:

Так вроде в последних версиях AT он сделал пароль зашифрованным. Т.е. даже если троян отошлет ему дамп твоих кук, то по идее он его хер расшифрует потом?

цитата
14/03/08 в 12:15

dos622
Soft-Com
глянь приз с каких Ip это говно подсовывают. мож опять 1-2 адреса будет.

цитата
14/03/08 в 14:26

Anykey
Проверил логи, тоже самое, те же айпишники, но в коде страниц фрейма не было.
Поставил доступ в админку только по определенным айпишникам + айпи этого красавца везде где только можно было побанил.
В последнее время все больше склоняюсь к варианту сменить этот гребанный at3, прийдется конечно убить на это некоторое время, но нервы дороже.

цитата
14/03/08 в 15:43

Mitch
Ебанутся.
Ттоесть каждый раз как входиш в ат3 - рискуеш подцепить трояна. Без JS то в админку не войти впринципе.

цитата
15/03/08 в 20:54

Soft-Com
в АТ есть бага, через которую можно залить php-shell (типа r57shell например) на сервер.

рекомендую заменить проверку реферера на такую чтобы это полечить:
Код:

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]

т.к. товарищи багописатели не ответили на моё первое письмо, я запостил тему на их форуме:
http://www.arrowscripts.com/forums/index.php?showtopic=3369

Прошу всех оунеров АТХ отметится, у кого стоит ATL3 - советую сменить на протон (это не реклама).

если кому-то нужна небезвозмездная

помощь в оптимизации серверов под протон - обращайтесь, не стесняйтесь

.

думаю тему можно закрыть, потому что это стало напоминать бесконечную историю - II.

всем кому помог - можете поблагодарить + в репутацию

цитата
16/03/08 в 03:21

Foxy Babe
Цитата:

т.к. товарищи багописатели не ответили на моё первое письмо, я запостил тему на их форуме:
http://www.arrowscripts.com/forums/index.php?showtopic=3369

они этот топик удалили почемуто

цитата
16/03/08 в 04:19

Kitaa
Да уж ...
Походу забили они на своих юзеров.
Буду выбирать между ept и ftt.

цитата
16/03/08 в 07:29

Soft-Com
Foxy Babe писал:

они этот топик удалили почемуто

вот что мне отписал модератор их форума:

Цитата:

Re: vulnerabilities ( From: angelis )
I've set your post to invisible, no point showing the world things like this. I'll pass the message to Admin and he can respond to you.
angelis is a member of the Fuckers group and has 912 posts.
Sent on: Yesterday, 10:06 PM

товарищи таким вот методом свою репутацию берегут ...

цитата
16/03/08 в 15:44

LemonS
Наверно не совсем хороший повод, но все же хотелось бы упомянуть SmartCJ - мы про пользователей не забываем :) ну и от перехвата пароля к админке скрипт защищен.

цитата
16/03/08 в 16:08

Benny
Цитата:

Наверно не совсем хороший повод, но все же хотелось бы упомянуть SmartCJ - мы про пользователей не забываем

ну и от перехвата пароля к админке скрипт защищен.

Так уже давно бы сделали за процент от кликов свой смартсдж..
а так не совсем корректное упоминание о скрипте, он ведь платный.

цитата
16/03/08 в 17:36

Nikit@
Цитата:

+1, попробовал бы скрипт на небольших сайтах, чтоб понять как там и что, просто покупать софт за 300 баксов не имея уверенности, что он меня устроит я не очень хочу =(

цитата
17/03/08 в 00:23

Polunochnik
Ну по функционалу смартсж точно обгоняет все остальные существующие на рынке. А фришной версии хоть и нету, зато у саппорта хватает времени своим клиентам вовремя и качественно поддержку оказывать.

цитата
17/03/08 в 00:53

fihorn
пожалуйста объясните в одном предложении - уязвимость только для АТ3 или для АТХ тоже?
спасибо

Стр. « первая < 1, 2, 3, 4, 5 > последняя »

Новая тема Ответить

Эта страница в полной версии