Реклама на сайте Advertise with us

(Лечение!) Ахтунг атакуют топы или дыра GB Top

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 20:21       Ответить с цитатойцитата 

gimcnuk. Тоже на ум приходит такая мысль, находил я на серваке search.php? есть такой в ГБ, так вот он был поменян на saerch.php. Он был изменен apache. Я его удалил (код там вражеский был) Еще бы знать файлы с каким расширением могут быть потенциально опасными

6
 



С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970

Ссылка на сообщениеДобавлено: 19/12/10 в 20:35       Ответить с цитатойцитата 

Ну, поиск (в смысле search.php) в топлистах без особой надобности. Его тоже можно удалить.
Попробуй
Код:
grep -rl 'кусок_от_эксплоита' /path_to_public_html

6
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 20:37       Ответить с цитатойцитата 

если установлен бекдор, то ведь логи сервера должны отображать чужие id входы, а нет только мои заходы стоят. Может ходят через мой комп? Аутпост секюрити ничего не перехватывает, троев нет, и не блокирует ничего подозрительного.

6
 



С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970

Ссылка на сообщениеДобавлено: 19/12/10 в 21:12       Ответить с цитатойцитата 

Почему чужие? Через дыру влит скрипт, им всё делается. Как раз от имени апача.

6
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 19/12/10 в 21:30       Ответить с цитатойцитата 

ДА сколько же можно уже?! Чтоб у него хуй отсох (С) У меня щас не отображает количество кликов сделаных от трейдеров все пересмотрел нет ничего что криво настроено. На одном топе пошли показатели хз че делать icon_twisted.gif

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 22:19       Ответить с цитатойцитата 

нет редирект не проявляется сейчас, он проявляется ночью, параметры редиректа прописаны четко у хакера, ip, браузер, режим времени запуска редиректа. Блять как найти бэкдор?

6
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 22:20       Ответить с цитатойцитата 

траф-то на спосах сразу проседает, значит редиректит

6
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 19/12/10 в 22:25       Ответить с цитатойцитата 

salo: Я с тобой бро! Что делать БЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!! П-А-М-А-Г-И-Т-Е!

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970

Ссылка на сообщениеДобавлено: 19/12/10 в 22:27       Ответить с цитатойцитата 

Я же написал, грепом пройдитесь. Либо визуально, подозрительные файлы, каких не должно быть

6
 

ASSES AND TITS

С нами с 15.03.03
Сообщения: 4478
Рейтинг: 1816

Ссылка на сообщениеДобавлено: 19/12/10 в 22:39       Ответить с цитатойцитата 

жесть бля какая то творится icon_sad.gif

парни держитесь !

Take Bucks
BoysHDVideos.com - новый сайт! TryAnalFisting.com - лучшее ратио!

3
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 22:56       Ответить с цитатойцитата 

нашел какие-то подозрительные EXmain, EXmain2, дожны быть только main, main2. удалил

6
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 22:58       Ответить с цитатойцитата 

но они не php, а html, смотрим дальше

1
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 23:28       Ответить с цитатойцитата 

ну что ребята нашел Web Shell by oRb залит по Ftp, когда блокировка по ip не стояла
/home/имя/domains/domen.com/public_html/transcock/archive/stats/stats.php? От него пошли public_html/stat.php по доменам. Саппорт хоста помог smail54.gif

6
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 19/12/10 в 23:36       Ответить с цитатойцитата 

Все хакерские файлы php

6
 



С нами с 06.06.03
Сообщения: 228
Рейтинг: 454

Ссылка на сообщениеДобавлено: 20/12/10 в 00:46       Ответить с цитатойцитата 

И мне саппорт помог.
Четыре вебшелла вычислили... smail54.gif

Ferrocash.com

4
 



С нами с 06.06.03
Сообщения: 228
Рейтинг: 454

Ссылка на сообщениеДобавлено: 20/12/10 в 08:58       Ответить с цитатойцитата 

Может в ту фарм партнёрку, куда хакер этот болезный там редиректит, заабузить и его акк там прибьют? icon_evil.gif

Ferrocash.com

2
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 20/12/10 в 09:11       Ответить с цитатойцитата 

Самое интересное я отписывал в тут ПП когда были первые атаки, мне из той партнерки ответили, что вот емейл данного партнера и пишите ему напрямую ))) хотя в сл. атаку надо бы найти, совершенно стороннею машинку и на ней покликать без ативирусника и узнать всего его айди в ПП ;)

4
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 20/12/10 в 10:00       Ответить с цитатойцитата 

Парни у кого хоститесь? мой сапоорт якобы проверил нихера не ннашел походу и не искали. если что скиньте в личку плиз. спасибо за инфу будем искать

0
 



С нами с 30.10.07
Сообщения: 115
Рейтинг: 132

Ссылка на сообщениеДобавлено: 20/12/10 в 11:34       Ответить с цитатойцитата 

CrazyMen: отписал в личку

2
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 20/12/10 в 21:44       Ответить с цитатойцитата 

Друзбя! Нашел я вот что файлы содержались в папке datafiles у всех топо по разному
isp16.php
isp23.php
isp27.php
isp81.php
с кодом
Код: [развернуть]

Вес файла примерно 56,8кб

usaagent.php

С кодом
Код: [развернуть]

Вес файла 22,7кб

Так же есть во всех топах в папке datafiles файл jsp.php весом примерно 168байт
с кодом
Код: [развернуть]

Но наверное это стандартный от скрипта.

Ищи у себя все чтонайдете отпишите!

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 20/01/11 в 22:58       Ответить с цитатойцитата 

Короче опять... Уже в папке темплейтс фаил _foot.phtml содержимое одинаковое что и у других. Сука я из за него не могу сетку геев поднять блять! Зашел топ проверить а там кликов 0 у всех пиздец приплыли думаю. Проверил так и есть опять то же icon_mad.gif

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 



С нами с 29.07.03
Сообщения: 682
Рейтинг: 440

Ссылка на сообщениеДобавлено: 21/01/11 в 01:07       Ответить с цитатойцитата 

Народ, че вы так паритесь со скриптом который ломают через день, грубо говоря. Попробуйте поюзать для топ трейда смартсж, вполне мощный скрипт, много статсов, мультиадминка.
Два -три -5 мастеров отпишите автору в асю что хотите импорт трейдеров с гбтоп, он это спецом для вас сделает, и перенос не составит проблем.

1
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 21/01/11 в 08:18       Ответить с цитатойцитата 

CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)

1
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 21/01/11 в 13:40       Ответить с цитатойцитата 

Нет. На новый сервер не переезжал. Каким образом он закидывает я не знаю. Но все в одно время закинуты. Имена почти разные файлов.

0
 



С нами с 29.07.03
Сообщения: 682
Рейтинг: 440

Ссылка на сообщениеДобавлено: 21/01/11 в 14:02       Ответить с цитатойцитата 

Дольчик ххх писал:
CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)


Поставить то его как раз и не проблема. Шел - разве проблема счас? Делаешь по мануалу и скрипт ставится. А вот когда поставишь, настраивать его, там море фич, там уже посложнее.

2
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »