Очень нестандартный трейдер или взлом АТS?

Gidz: не боись!!! это у тя всегда было - это АТС вставляет

похоже на атсовскую приблуду.
хз. у меня тоже на всех сиджах.

von Stoltz писал:

В общем, срочные меры такие: 1. Закрыть авторегистрацию трейдеров; 2. Поставить права 644 на темплейт и файлы установок; 3. Зашифровать пароль.

помниться, что для ат3 закрытие формы регистрации не особо помогало, кстати Шифровка пароля.... ну хз чем это поможет, - я не специалист, но если эта херь уже внутри...

у меня ATS+streem скажите на какие папки какие права поставить. ну или на какие файлы чтоб все работало?

это чмо автоматом ищет и добавляется даже в нерабочие сайты

скрипт находит все файлы *.tpl *.htm* и вставляет туда код jscript-овый, если хватает прав.

скрипт исполняется через веб, поэтому права на файлы (чтобы не вставился код трояна) должны стоять или -r-xr-xr-x (555) ну или 444 для параноиков, или убедится что оунером файлов НЕ является юзер, от которого работает веб сервер, и тогда можно поставить права на файлы 755.

во всех этих случаях смены прав вы рискуете лишится возможности перезаписывать морду стрима из админки(через веб веть операция происходит)

в догонку:
если у вас все домены находятся в одном аккаунте на сервере, и контент принадлежит одному юзеру, то вероятность того что взлом одного домена повлечёт за собой заражение контента других доменов очень высока (даже если там не стоит ATS)

да, все что доступно от юзера заражается.

Епт... Так а если форма трейда закрыта, все-равно смогут ломануть, или нет? И еще, надо ли закрывать форму для просмотра статистики трейдерам?

я их убиваю, а через некоторое время они снова появляются... значит что-то еще осталось?

кого ты убиваешь?
выше написано как искать на сервере все зараженные файлы

ну искал вчера на сервере
find / -name \*.php -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'
все файлики в которых находил чистил... а сегодня снова полез и нашел
и еще подскажите плз редактор текстовой в freebsd, в котором можно сразу убить эту гадасть на сервере, а то через vi у меня почему-то не весь код отображается, и приходится на локальный комп качать и там уже редактировать.

у меня было то же самое утром убил html зараженные а потом смотрю опять лезут на одном сидже. Стал смотреть. Оказалось он в *.tpl АТС сидел. То есть на одном домене оказался двух файлах *.tpl
То есть я так понял надо у кого ATS
1. Глянуть все *.php
2. Потом все *.tpl в этом файле я заметил увеличение размеров огромное.
3. Потом все *.html

Во время убивания этой дряни лучше сж тормозить, чтоб не выполнялось на мен ни чего, У меня было, что убить не мог пока не тормознул, все заново появлялось. Просто ин переименовал и все поубивал затем заново пустил и все, потерями трафа можно принебречь ради такого случая.

.......

почистить можно так:
[freebsd]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i; done

[linux]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i  's/<script.*document.write.*unesca.*<\/script>//g' $i; done

команда в одну строку, подставить нужный find из вышеописанных.

а заплатки ожидаются? если да, то когда?

Цитата:

а заплатки ожидаются? если да, то когда?

только что пришло сообщение от службы поддержки ATS

Цитата:

В общем, срочные меры такие: 1. Закрыть авторегистрацию трейдеров; 2. Поставить права 644 на темплейт и файлы установок; 3. Зашифровать пароль. На выходных выложу апдейт, который закроет дырку.

4. Поставить права 644 на файл datafiles/rules.txt

Soft-Com писал:

почистить можно так: [freebsd] Код: for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i; done [linux] Код: for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i  's/<script.*document.write.*unesca.*<\/script>//g' $i; done команда в одну строку, подставить нужный find из вышеописанных.

что - то у меня пишет что неправильная переменная i

Код:

for: Command not found. i: Undefined variable.

von Stoltz писал:

4. Поставить права 644 на файл datafiles/rules.txt

Через FTP не получается поменять атрибуты, сервер выдает "Cannot change attributes of remote files", через SSH посредством CHMOD тоже не хватает пермишенов. Что не так делаю?

HST писал:

Через FTP не получается поменять атрибуты, сервер выдает "Cannot change attributes of remote files", через SSH посредством CHMOD тоже не хватает пермишенов. Что не так делаю?

Владелец этого файла апач.
Ты видимо заходишь под собой, не под рутом.
Поменять права можно рутом из-под шелла.

Если не хватает прав, можно скопировать на локальный комп, стереть на сервере, залить обратно на сервер. После этого (а не до этого) зашифровать пароль, поменять права на 644 или даже на 444.

HST писал:

Через FTP не получается поменять атрибуты, сервер выдает "Cannot change attributes of remote files", через SSH посредством CHMOD тоже не хватает пермишенов. Что не так делаю?

Владелец этого файла апач.

Поменять права можно рутом из-под шелла.
права на файлы которыми владеет апатч нужно ставить не 644 , а 444
иначе запись в них через апатч - остаеться.

По совету von Stoltz скопировал, стер, залил обратно, поставил права 444. Спасибо von Stoltz и всем, кто принял участие в решении вопроса о пермишенах!
А "файлы установок", которым тоже нужно права поменять, это те, что в папке "Settings"?