Новая тема   Ответить

 Remy
На этой недели ломанули один из моих тгп, да так что убило установленную на нем ванилуТГП.
Все файлы этого скрипта и генерируемых страниц, были прописаны яваскриптом, который через иФрейм подгружал вирусяку.
Вначале я был уверен, что взлом произошел через дырки в скриптах ваннилы. Целые сутки я и ребята с сапорта моего хостинга разбирались - кто и как(через что) ломанул сайт. Оказалось виновник - атл, несмотря на то, что у меня стоял 16 апдейт, в котором, вроде, были пофиксаны ошибки безопасности.

Ближе к делу, проверьте не заражен ли ваш саит - проверьте ХТМЛ код индекса и др. стр. сайта на присутствие след. кода:
Код:
(если ваш анивирь не гудит, когда вы заходите на ваш сайт, это назначит, что вам повезло и заразы нет - НОД например не видет этой гадости!)
Этот явакод прописывает следующий ХТМЛ в страницу:
Код:
(урл загрузки может быть другим.)
... какие скрытые функции выполняет static.php я не знаю, но в итоге он подгружает - animan.class, это загрузчик самого трояна.
И несколько слов о том, что это за троян - насколько мне известно - это **02.ехе файл, представляющий из себя сканер клавы и грабер экрана

По этому предлагаю обезопасить ваши сиджи:
1. ограничев доступ к файлом скрипта, а именно к скрипту через которого произходит взлом -
../cgi-bin/at3/x/x2.cgiсоздав в директории ../cgi-bin/at3/x/ файл .htaccess с таким содержанием:
Код:
если у вас динамический ИП(у большинства), то добавьте только ИП покси из под которого вы работаете.
Если вы не пользуетесь прокси и не имеете постоянного ИП у провайдера, тогда есть вариант описанный здесь:
чttp://www.askdamagex.com/t24283-sites-got-hacked.html

Обратите внимание! После этого действия новые трейдеры не смогут к вам добавляться!

2. Аналогично вышеописанному примеру, добавьте .htaccess в ../cgi-bin/at3/ с таким кодом:
Код:

3. На данный момент выявлено всего 2-а сервака, откуда производились взломы, вот их ИП: 203.117.111.106 и 195.5.116.250
Рекомендую закрыть доступ с сайту этим ИП, добавив следующий код к .htaccess в корневой директории. Это удобно сделать через админку АТЛ - меню: ip daemon, и добавляем этот код в поле "IP Daemon - htaccess Header"
Код:

4. Если сайт был хакнут, надо отыскать на нем один из двух файлов, sync.php и/или backup.php.
выполните из шелла updatedb (права рута) и locate sync.php. Удалите найденные, кроме /st/admin/sync.php - это файл смарта его не трогать!!! (если у вас он установлен)

5. Удалите код из зараженных станиц, найти их можно создав в шелле скрипт (в домашней директ. сайта)-
sed.sh
Код:
и выполните его. Результат - файл report.txt со списком инфицированных файлов.

Что бы вырезать код из ваших страниц - выполните в шеле: Код:

5. Переинстальте все скрипты(ТГП, Ротаторы, СЖ).

Надеюсь это кому-то поможет.

пс. ИМХО ломают связки - атл3+смарт, атл3+ванилла(гробит саму ванилу) и атл3+стрим.

Последний раз редактировалось: Remy (20/03/08 в 23:20), всего редактировалось 2 раз(а)

 Remy
http://www.finjan.com/GetObject.aspx?ObjId=443 (в пдф-е) - вот тут все про это вирус! Очень интересная статья, рекомендую.

 Kitaa
Remy писал:
Нечего там не пофиксено, еще в начале января писали что как ломали так и ломают ат3, если хтацесс не защищен.

 Damas
Я защитил свои сиджи - снес АТ3 нахер.

 goodlover
Мда, нехорошая репутация у atl3 теперь.

 Starforce


что самое интересное, на нем по прежнему сидят ) и собственно альтернатив то ему почти нет ))

 Renegat
Достаточно одного уже существующего .htaccess в папке ../cgi-bin/

Дописать в него:

<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from Ваш IP1
Allow from Ваш IP2
</FilesMatch>

Starforce
АТХ отличный скрипт, и то что его ломают не значит что он полное Г...
80% компьютеризированного населения нашей планеты сидит на продукции компании Майкрософт, которую ломают по 10 раз в день. Дань популярности.

И вовсе не означает что тот же Протон, Фет или ATS в 100 раз устойчивее к взлому и т.д. Ими просто никто серьезно не занимался, ибо процент проектов на них достаточно мал, и проще "докапаться" до одного АТХ чем до их всех вместе взятых.

Понимая все это, куда либо переходить с продукции Arrow Scripts не собираюсь. Авторы думаю не дураки, в ближайшее время будет апдейт и не один. Через пару месяцев обещали АТХ 2.0 выпустить и т.д.

А пока нормально настроенного файрвола на сервере и грамотно прописанного .htaccess думаю хватит (я на всякий случай еще скрипт ротатора закрыл).

 color
можно просто в конфиг апача это добавить чтобы на каждый сидж не создавать htaccess

 Anab0L1k
Вредоносный код вставляется через меню toplists (в АТ3) - это меню позваляет создать любой файл на сервере. Чтобы получить доступ к админке АТ3 злоумышленник(-и) воруют cookies. ТС проверь у себя в security log'е предварительно выключив выполнение JavaSript'ов в браузере - там будет строка типа 203.117.111.106 tryed to login with user / pass. На самом деле там еще есть скрытый код (можно посмотреть в сорсе) который отсылает куку.

 Tsumibit0
Цитата:

альтернативы какраз то есть, и вполне достойные..... просто многим впадлу пробовать и разбираться в новых скриптах....

 greencore
Tsumibit0 писал: посоветуй плз

 Tsumibit0
Цитата:

фтт, атс, протон, фет, епт... собственно есть и другие за %....
у каждого есть свои "+" и "-", но выбор очень даже есть....

думаю это тема данной ветки обсуждать на что поменять ат3.... это совсем отдельная история....

если фтт решишь попробовать, велком в асю, поделюсь опытом.... ;)

 wMaster
Remy писал:
статья от 2-го квартала 2007-го, наверняка уже должно быть лекраство.

 supphosting.com
Мы на всех дедиках с сиджами заблокировали файрволом айпишки с которых ломают атл. По крайней мере на какое-то время защитили.

 Doctor


ну, эт бессмысленно практически... думаю с новыми айпишками у уродов проблем нет... последняя атака вот отсюда например - 202.83.197.228

 FatMike
Doctor писал:

Док..опять поломали или просто продолжают пытаться?

 Blink
А я был уверен, что виновен скрипт хирамакса. Давно было желание поменять AT3 на ATS, но сомневался. Теперь сомнений не осталось.

Последний раз редактировалось: Blink (21/03/08 в 17:11), всего редактировалось 1 раз

 shahfil
Blink писал:

А atx типа так не ломается чтоли?

 sky_diver
Уже давно пора было позакрывать доступы. Сколько раз ломали его уже, и обсуждали это не один раз.

 Spaceman
Если надоели взломы - вот здесь можно найти сервис, который может сильно облегчить жизнь. Регистрируемся и пользуемся, пока все бесплатно ;)

Оффтопик: P.S. Сорри если так нельзя делать... Уважаемые модераторы, не сочтите за спам - замечал, что владельцы многих сиджеевых скриптов рекламируют свои скрипты подобным образом

 Doctor
FatMike писал:

Майк, попытки в логах эвридэй с разных айпи... взломов нет, т.к. х2.cgi закрыт

 Project
Doctor писал:
Значит твой логин с паролем уже уплыл...
Бро, почитай здесь...

Да и все остальные получат пользу от этого топика...
Там очень подробно расписано как ломается АТ даже при заблоченом х2...
И скажу я вам, это не от популярности АТ, а от идиотизма разработчика, надо же додуматься в таком виде логи писать...

 saaas
Вот блин не понимаю зачем плодить темы об одном и том же ведь обсуждаеться все это в соседней ветке.

 sky_diver
Когда пишут о взломе и как защетится,остальным пох пока не поламали. Как только коснётся их,начинается одна и таже писанина. Я так это всё понимаю.
Закройте сразу все доступы и примите меры,о которых пишут. А вот,если уже и это не помагает,тогда надо трубить

 Nikso
если форма регистрации закрыта то пох на взломы или как?