Ну вот и меня подломали...

сегодня ночью ат3 ломанули. "обычный" код на морде сж появился. ковырялся 2.5 часа, вроде вычистил. Вопрос как от этого защититься, смену скрипта не предлагать. IP динамический, т.е. через хт.. не пойдет, пока просто тупо закрыл запись в темплайт ТОПа. но эта хрень еще в стриме тоже гадит, там так не получится закрыть...

в админке ат3 можно указать маску IP для доступа. Даже если IP динамический вряд ли он будет меняться с первых двух значения, пишешь например 83.83 которые не меняются при новом айпи
зы: появилось вроде в 17 билде тока, так что если нету то стоит обновить

в том то и дело, что IP меняется в больших диапазонах, сетка очень большая, я у прова давно уже это узнавал. короче так не получится. Интересный момент, после того как устранил последствия, траф естественно в гору пошел, и прода выросла 6а 30-40 проц.
:-)

а что мешает ходить по админкам с определенных проксей только
которые и прописать в хтиаксесе и в скрипте?

Прокинь VPN до хостера и подключайся к админке через него.
В .htaccess нужно будет открыть только один адрес - который тебе выдаст VPN сервер. Как правило эти адреса из немаршрутизируемых сетей.

net666, свяжись плиз со мной. Есть вопросы по чистке.

469469восемь шесть три

это 17 билд ломанули, или с 17 всё в норме?

17-ый ломают тоже через рефера в notrade.

У меня симптомы были такие, как soft-com описал здесь:

Попытки залогинитьcя в АТЛ под user/pass

смотрите в админке АТЛ рефов в тотале по Notrade - если есть alfaporn... - значит ломанули.

То что сломали я починил :-)... что сделать чтоб вновь не сломали. Вот вопрос :-)

net666 - ты не понял - ты починился, а я еще не совсем. Хотел пару вопросов задать

Я щас в аську не могу стукнуть, после 18 по москве обязательно постучу.

мои CJи тоже сломали, лечил как описано здесь: Вниманию тех кто юзает ATL3! - серьезная уязвимость! ограничил доступ к файлам x2.cgi и admin.cgi с помощью .htaccess, потом снёс sync.php и backup.php, почистил весь код, но через 5-10 мин код возвращается!
У кого такое было, как вы от этого избавлялись?

Первым делом занеси в фаервол адреса с которых ломали. Еще поищи файлы с датой измениния когда взлом был. Может еще какой пхп файл оставил.

Если есть возможность, скинь плс мылом access_log вебсервера, исходник странички с логой АТ и исходник странички с но-трейд трафом АТ support{на}soft-com.biz.

по возможности сделай в корне каждого домена такую команду:

Код:

find ./ -name \*.htm* -exec grep -H "document.write." {} \; | awk -F":" '{print $1}' find ./ -name \*.php -exec grep -H "document.write." {} \; | awk -F":" '{print $1}'

получишь приблизительный список файлов с трояном.

прежде чем дальше что-то делать сделай

Код:

/usr/libexec/locate.updatedb - во фре updatedb - в линуксе

потом найди locate-ом файлы backup.php - если файл не относится к протону - удаляй.

Код:

locate backup.php

потом ищи файлы sync.php

Код:

locate sync.php

файл sync.php должен находится в директории ST_DIR/admin/sync.php, где ST_DIR - директория куда поставлен смарт, если у тебя нашлись файлы не в этом месте - 90% это троян, можешь его открыть редактором - если в файле нету зазенденого пхп-кода - удаляй.

если стоит стримротатор - в админке просмотри его шаблон, чтобы в самом шаблоне небыло трояна, потому что он может прочитать конфиг стримротатора (он плейнтекстовый) и получить доступ к базе, где и хранится темплейт стрима.

Сразу скажу я не программер, есть такая мысль откуда начинается заражение...
1 долбоеб в поле user при логине вводит какоето непонянтное и длинное дерьмо (код говна которым заражается сервер)
2 долбоеб тупо смотрил секурити лог, куда уже записан код, сам запуская его на выполение. и САМ заражая свой сервер, скорее всего это одна из дыр CGI,
Если бы можно было огданичить поле user ну скажем длинной в 10 символов (параноиков у которых имя пользователя больше 10 символов мало) часть проблеммы ушла бы.
остаются записи в логе нотрейд, туда этот код тож впихнуть можно.
На сколько я знаю htaccess регулярные выражения поддерживает, можно просто банить запросы к серверу с содержанием в них определенного выраженичя, правда не знаю как это скажется на загрузке самого сервера.

Попытки залогинитьcя в АТЛ под user/pass
здесь всё немного подробней описано.

а что тебе мешает поставаить анонимную проксю и прописать доступ к админке ток с этого ип ?
я так в свое время делал когда диалап еще был

SetEnvIfnocase Referer ^(.*)?document.write\(unescape(.*)?$ bad=1
SetEnvIfnocase REFERER ^(.*)?<\?(.*)?$ bad=1
SetEnvIfnocase REFERER ^(.*)?\?>(.*)?$ bad=1
Order Allow,Deny
Allow from all
Deny from env=bad

Вставь этот код в htaccess, будет блокировать попытки с этих реффералов, которые потом появляется в нотрейде, и пиздят куки.

Я вчера к вечеру зачистился полностью.

Там моя аська выше есть - у кого не получается, стучите.

Огромное спасибо net666 за помощь. И особенно братья и сестры, исключительно - снимаю шляпу перед soft-com-ом. Это монстр Спасибо.

Кстати амхост самоустранился, как и в случае с моим предыдущим взломом.

Slonic в соседней ветке спрашивал про то, что все-таки остается alfaporn в реферах ноутрейд. Да, у меня после чистки статсов/логов - он там все равно есть (появляется по новой). Но href со скриптом троя у него уже отбит. Htaccess насколько я понимаю работает. Делал так как предлагал soft-com - с перенаправлением на google.

А может лучше чем гугль обратно отправлять ? у себя я так сделал.

Рекомендую подправить .htaccess, судя по всему уродец научился передавать параметры через GET.

Код:

RewriteEngine on RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR] RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR] RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC] RewriteRule .* http://google.com/ [L]

P.S.
В последнее время стали ломать с этого айпишника 92.62.101.9, кто хочет может прикрыть сам айпишник.

P.P.S.
куда слать пидара - дело сугубо личное, я всей душой за http://lleo.aha.ru/na/, но воспитание не позволяет, знаете-ли .

to Soft-Com
Классная ссылка....

Soft-Com - а если стоит защита по ip то могут щас ломать или нет ?

хтаксес в дире at3

<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from all
Allow from мой_ip
</FilesMatch>

это защита только от залогинивания в админку с левых IP + от прямой передачи параметров скриптам, судя по всему можно передать параметры через in.cgi (его само собой не прикроешь особо), поэтому желательно через реврайт (или setenvif кому как приятнее) прикрыть левого рефа и прикрыть возможность передавания параметра через GET/POST.

Для тех у кого не чистилось и морды стрима заражались по новой.

Код содержится не только в файлах sync.php и backup.php. Я только что обнаружил изрядное количество левых php файлов в папке смарта. Содержится в них всех подобная конструкция: "<?php $s="202069662028...........".

Так вот - если вроде все почищено, но индексы заражаются снова и снова - пробуйте искать такие файлы. Размер около 2кб. Можно следующей командой:

grep -rH "2020696" * | awk -F":" '{print $1}'

Вот в частности мой результат из папки смарта:

st/img/css_gray/css.php
st/img/custom/cust.php
st/img/icons/icons.php
st/submit/temp/submit.php
st/thumbs/007/th.php
st/thumbs/015/9234.php
st/thumbs/020/020.php
st/thumbs/035/035.php
st/thumbs/016/016.php
st/thumbs/017/017.php
st/thumbs/011/011.php
st/thumbs/014/014.php
st/thumbs/045/045.php
st/thumbs/026/026.php
st/thumbs/037/037.php
st/thumbs/046/th.php

Все это - левое.