С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
 Добавлено: 31/10/08 в 03:48 |
Итак:
1) Пока нашел только в ATX 1.3.12, другие версии или AT3 возможно тоже самое.
2) Шлют спец реф
3) Если вы смотрите refstats и наводите мышку на url исполняется хитрый mouseover
4) далее iframe, эксплоит садится в tmp сервера и выполняется от прав вебсервера
5) если у вас стандартные настроки www путей используемые во многих дистрибутивах и проблемы с правами на файлы и каталоги, то поздравляю. Вас поимели.
У меня нестандартные, потому и сообщаю 
Код выслан овнеру ATX и на закрытый форум.
Лечить пока нечем, потому баним: 79.135.187.18 или подсеть.
p.s. Уроды из Эстонии теперь проживают в Турции. Понятно почему 
|
|
|
|
| |
С нами с 30.04.06
Сообщения: 3096
Рейтинг: 2025
|
| Добавлено: 31/10/08 в 10:04 |
ну почему не чем лечить, поставь на нужные файлы нужные права, а дыра эта известна похоже. мне один сж ломанули, нашел те файлы в которые говно писалось, поправил права и все щас ни чего, год живу спокойно.
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 31/10/08 в 10:52 |
Имхо если юзать АТХ, то без специально обученных админов лучше не юзать его 
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 31/10/08 в 17:27 |
1) В AT3 тоже самое
2) Дырку залатали, готовят апдейт. Учитываю выходные думаю к понедельнику слепят под все.. может и быстреe.
|
|
|
|
| |
С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694
|
| Добавлено: 01/11/08 в 23:00 |
ЗАлатали. 18 версия доступна.
|
|
|
|
| |
С нами с 10.02.07
Сообщения: 376
Рейтинг: 488
|
| Добавлено: 02/11/08 в 09:45 |
кто-нибудь обновился уже? как всё прошло?
|
|
|
|
| |
In Bucks We Trust
С нами с 13.07.05
Сообщения: 1247
Рейтинг: 1018
|
| Добавлено: 02/11/08 в 09:48 |
блин - ну вы и садомазахисты - я уж думал никто не юзает эту поебень...
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 02/11/08 в 10:29 |
| Tartar писал: | | кто-нибудь обновился уже? как всё прошло? |
Все хорошо. На и на атл и на атх.
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 02/11/08 в 10:32 |
| Bul писал: | | блин - ну вы и садомазахисты - я уж думал никто не юзает эту поебень... |
Да ладно, еще неизвестно какие проблемы у других. Изначально у тех кто думал головой - все закрыто было всегда.
Нетворки большие на ATX у людей есть и сменить на раз два не так-то просто и дешево.
|
|
|
|
| |
С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694
|
| Добавлено: 02/11/08 в 11:47 |
| doomed писал: | | Все хорошо. На и на атл и на атх. |
Походу не все так хорошо как бы хотелось. Попробуйте кто-нибудь зайти в security log есть ли информация там? Или выдает ошибку ? (на 18 билде)
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 02/11/08 в 13:55 |
| Ziegfrid писал: | | Походу не все так хорошо как бы хотелось. Попробуйте кто-нибудь зайти в security log есть ли информация там? Или выдает ошибку ? (на 18 билде) |
Лога больше нет. Он пишется теперь в другой файл и в админке не будет показываться, по крайне мере в этих билдах. Там кстати так и пишет, никакой ошибки. Так и задумано.
|
|
|
|
| |
С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694
|
| Добавлено: 02/11/08 в 13:59 |
| doomed писал: | | Лога больше нет. Он пишется теперь в другой файл и в админке не будет показываться, по крайне мере в этих билдах. Там кстати так и пишет, никакой ошибки. Так и задумано. |
Оригинально))). А смысл так делать?
|
|
|
|
| |
С нами с 29.05.05
Сообщения: 673
Рейтинг: 294
|
| Добавлено: 02/11/08 в 19:42 |
а логи рефов случайно не сделали в простом текстовом формате ? без интерактивных ссылок типо.
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 02/11/08 в 21:08 |
| Ziegfrid писал: | | Оригинально))). А смысл так делать? |
А чтоб не парится долго, убрали и все
Рефы в реальности нужнее, чем секурити лог.
Формы вcе равно отключены у всех, и в добавок по IP закрыты.
Да и ATX v2 на подходе. Вроде грозится в декабре примерно родить.
|
|
|
|
| |
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
| Добавлено: 02/11/08 в 21:13 |
| Benny писал: | | а логи рефов случайно не сделали в простом текстовом формате ? без интерактивных ссылок типо. |
Нет оставили как есть, добавили просто фильтры на вставку левака.
Левак в реф вставить можно (на самом деле очень сложные рефы иногда с СЕ или каталогов), но все варианты выполнения кода из html режутся и ничего выполнятся не будет..
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 00:16 |
с этого же IP сейчас ломают у клиента одного сиджы, AT3 не стоит, предположительно в ATS дыра... заливают пхп-скрипт криптованый который дергают потом удаленно с этого IP и который добавляет гадость во все shtml файлы какие найдет.
как именно заливают пока не разобрались
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 00:53 |
В общем в ATS есть аналогичная уязвимость. каким то образом ссылка на скрипт http://79.135.187.18/ats/ats.php попадает в админку в список трейдеров и активируется при заходе пользователя в админку и заражает сервер.
|
|
|
|
| |
С нами с 27.11.02
Сообщения: 390
Рейтинг: 188
|
| Добавлено: 08/11/08 в 14:17 |
ATS виновен, первый раз за много лет ломанули пару серверов и там как раз стояли ATS и все действия с сервером потом шли с этого айпи 79.135.187.18, проверяйтесь народ в логах, чувак много заразил хостов, ставит код который подгружает море троянов
вот уже народ обсуждает: Очень нестандартный трейдер или взлом АТS?
|
|
|
|
| |
С нами с 28.12.06
Сообщения: 2
|
| Добавлено: 09/11/08 в 22:53 |
Ет наверное с етой же оперы
В логах нашел:
X.X.X.X - - [03/Nov/2008:21:52:10 +0000] "POST /cgi-bin/atx/x/x2.cgi
HTTP/1.1" 200 1874 "http://92.62.101.9/i.php" "Mozilla/4.0 (compatible; MSIE
7.0; Windows NT 5.1; .NET CLR 2.0.50727)"
где X.X.X.X - ip клиента
если я правильно понимаю ситуацию - то защита через .htaccess летит к чертям
и в фаервол на сервере неспасет 
|
|
|
|
| |
С нами с 28.12.06
Сообщения: 2
|
| Добавлено: 10/11/08 в 07:56 |
хмм - правда atx на тот момент был не 1.3.13 - сапорт atx божится что уже все пофиксили... ну посмотрим
|
|
|
|
| |
