Реклама на сайте Advertise with us

Smart CJ для тупых :)

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

Ватник-Коммунист

С нами с 17.11.06
Сообщения: 1119
Рейтинг: 617

Ссылка на сообщениеДобавлено: 15/10/12 в 11:39       Ответить с цитатойцитата 

cyberdream3 писал:
Как сменить лучшую тумбу в кастом гале? как сменить ту, которая представляет галю на сидже?

Rotation->List Thumbs-> под тумбой есть ещё один List Thumbs-> удаляешь те, что тебе не нравятся, оставляешь или заливаешь ту что надо.
Учитывай тот факт, что сёрферам нравится одно, а тебе другое, если её выбрал скрипт, значит её выкликали не зря. В случае если у всех тумб гали 0-вой цтр, тогда конечно стоит вмешаться и поправить на самую дрочибельную.

1
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 15/10/12 в 15:37       Ответить с цитатойцитата 

nudero: о точно, можно ж руками залить просто нужную тумбу. про такой варинат я что-то не подумал, спасиб.

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

0
 

Elite mercenary

С нами с 26.04.09
Сообщения: 10376
Рейтинг: 1650

Ссылка на сообщениеДобавлено: 15/10/12 в 19:27       Ответить с цитатойцитата 

Ну да, я просто указал путь к папке типа //сайт/папка и указал сразу кинуть в активные, без прелоада, соответственно на главную выбирается далеко не всегда самая дрочибельная.

В любом случае спасибо за советы и отдельно LemonS за терпение отвечать на вопросы smail04.gif

зы. Смартсидж в этом отношении молодец - просто подхаватит всё из папки, например тому же КВС нужно в зипах подсовывать smail54.gif

0
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 17/10/12 в 19:17       Ответить с цитатойцитата 

АХТУНГ !

Когда-то это должно было произойти и вот оно. Сегодня нашли дыру в скрипте. Уже залиты фиксы апдейты 48, 49 и бете 50. Что б закрыть дыру достаточно провести ап еще раз и будет все ок.

Как проверить были ли взлом у вас: проверить есть ли *.php файлы в любом из каталогов на которых пермишены 777. Конкртено в смарте это scj/tmp, scj/thumbs, scj/logs, scj/top, scj/top/tt. *.php или других исполняемых файлов быть не должно там.


Я отписал в асе тем кто обращался ко мне с вопросами о скрипте, но наверняка есть те кто не читает форум, не видят сообщения в асе и тп - если не сложно отпишите варнинг своим друзьям.

Описание дыры кому интересно:

.... описание подумал и убрал.... кому интересно - в асе.

Дырой можно было воспользоваться если есть доступ в админку.

Засада в том, что по дефолту скрипт ставится с одним и тем же паролем, а положив пхп шел на одном домене его легко размножить на другие домены на том же серваке. Те если у вас был хоть 1 домен с дефолтным паролем - можно положить файл на любой домен в пределах сервака.

Сорри за багу, спасибо пользователям за соощение. Пофикшено как только появились данные о проблеме.

Последний раз редактировалось: LemonS (17/10/12 в 21:33), всего редактировалось 1 раз

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

2
 

Наставник!

С нами с 01.08.03
Сообщения: 1088
Рейтинг: 1491

Ссылка на сообщениеДобавлено: 17/10/12 в 19:27       Ответить с цитатойцитата 

Те взлом только через админку?

0
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 17/10/12 в 19:30       Ответить с цитатойцитата 

Sanman: других вариантов в данный момент не обнаружено.

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

2
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 17/10/12 в 20:05       Ответить с цитатойцитата 

По действиям что надо сделать:

1. поискать пхп файлы во всех каталогах на которых стоит 777 пермишены, те куда теоретически можно закинуть вебшел

find . -type d -perm 777 -exec find {} -name "*.php" \;

и посмотреть найденные файлы. Если там чего непонятное - лучше файл переименовать. Если не ясно "непонятное" оно или нет - велкам в асю.


Что стоит проверить если у вас есть вебшел: (из того что с ходу пришло в голову)

1. вебшел не может менять файлы созданные от юзера (вот почему мне нравится вариант обновления через шел), те в файлах in\out.php подмены быть не должно (в файлах smartcj по крайней мере, они созданы от юзера). Однако с вебшелом можно получить доступ к базе данных и в ней сменить урл какого из трейдеров.
Думаю хороший вариант сделать что-то вроде

SELECT td, tu FROM traders where system_trade = 0

и посмотреть что там нет левых урлов.


2. дописать какой-то код в темпелйты, из страшного что приходит в голову это только eval соответственно

select * from rot_pages where template like '%eval(%'

это можно сделать сейчас руками, а так же эти проверки сейчас дописываются в апдейты.

3. подумалось что еще какой то редирект может быть в темпелйтах , можно поискать например location.href

select * from rot_pages where template like '%location.href%'



пост дописывается как будут новости.

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

1
 



С нами с 08.02.03
Сообщения: 10564
Рейтинг: 5962


Передовик Master-X (01.06.2018) Передовик Master-X (16.06.2019) Передовик Master-X (01.04.2020) Передовик Master-X (16.04.2020) Передовик Master-X (16.10.2021) Ветеран трепа Master-X (01.11.2021)
Ссылка на сообщениеДобавлено: 17/10/12 в 21:23       Ответить с цитатойцитата 

LemonS: может вообще сделать как у смарттумбс лок, анлок всех файлов?
На диры топа и темпы через .htaccess на запрет исполнения php/cgi?

0
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 17/10/12 в 21:23       Ответить с цитатойцитата 

Дозалили в апдейты создание .htaccess
с RemoveHandler .php .phtml .php3
в каталогах где могут чего положить.

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

1
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 17/10/12 в 21:25       Ответить с цитатойцитата 

JM: одновременно написали сообщения icon_smile.gif

Сейчас еще будет напина чекалка "левых" файлов и базы.

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

1
 



С нами с 20.05.04
Сообщения: 669
Рейтинг: 580

Ссылка на сообщениеДобавлено: 17/10/12 в 21:40       Ответить с цитатойцитата 

Народ, а что за последствия то?
Ну ломанули, ну куча левых пхп и что? что они делают, хитбот, троян, спам?!
а вот список моих левых пхп:
bd.php
cron.php
tt.php.tmp

1
 



С нами с 22.03.09
Сообщения: 1691
Рейтинг: 2478

Ссылка на сообщениеДобавлено: 17/10/12 в 21:47       Ответить с цитатойцитата 

выглядят как шелы. через них потом можно много чего плохого сделать, просто не успели

hostiserver.com - Хостинг под КВС и Смарт, чтобы работало быстро

1
 

Хостинг, CDN

С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405

Ссылка на сообщениеДобавлено: 17/10/12 в 22:47       Ответить с цитатойцитата 

Рекомендую прогнать на сервере вот такой скрипт (он сразу покажет где есть проблемные домены и поправит права на htaccess файл заодно):
Код: [развернуть]

Inxy.com - Dedicated servers, VPS, colocation, CDN.

5
 



С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686


Передовик Master-X (16.01.2013) Передовик Master-X (01.02.2013) Передовик Master-X (16.02.2014)
Ссылка на сообщениеДобавлено: 18/10/12 в 01:21       Ответить с цитатойцитата 

DiamonD: спасибо

FREE NETWORK ! @ SmartCJ - самый умный trade script
Public BL hosted by Hostiserver.com

1
 



С нами с 28.02.12
Сообщения: 651
Рейтинг: 571

Ссылка на сообщениеДобавлено: 18/10/12 в 01:32       Ответить с цитатойцитата 

DiamonD писал:
Рекомендую прогнать на сервере вот такой скрипт (он сразу покажет где есть проблемные домены и поправит права на htaccess файл заодно):
Код: [развернуть]


спасибо за скрипт, уже вычищаю говно.

Кстате скриптег не чистит /scj/top/tt/tt.php.tmp

0
 

Elite mercenary

С нами с 26.04.09
Сообщения: 10376
Рейтинг: 1650

Ссылка на сообщениеДобавлено: 18/10/12 в 06:50       Ответить с цитатойцитата 

У смартсиджа есть адвансед темплейты для туба, ну там с регой юзеров, фейворитами, каментами...
Есть где то пример глянуть, как оно выглядит в работе?
Ну или мож отзыв кто нить напишет, кто ставил и пользовал.
А то я в раздумиях, смартсидж в таком виде заюзать под туб(без трейда, на эмбедах) или чот другое взять icon_rolleyes.gif

0
 



С нами с 20.10.04
Сообщения: 3851
Рейтинг: 1044


Передовик Master-X (01.03.2020)
Ссылка на сообщениеДобавлено: 18/10/12 в 10:52       Ответить с цитатойцитата 

Хлопцы, /scj/top/tt/tmp.php.tt - вот это что? Оно легально?

0
 



С нами с 28.02.12
Сообщения: 651
Рейтинг: 571

Ссылка на сообщениеДобавлено: 18/10/12 в 10:55       Ответить с цитатойцитата 




Лемон сказал что нет.

0
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 18/10/12 в 11:00       Ответить с цитатойцитата 

Цитата:
Те взлом только через админку?


тоже интересно. если все пароли были поменяны, то есть шанс что чето не так?

обновить сразу большое количество скриптов одной командой реально?

0
 



С нами с 17.12.00
Сообщения: 1653
Рейтинг: 1082

Ссылка на сообщениеДобавлено: 18/10/12 в 11:05       Ответить с цитатойцитата 

DiamonD порекомендуй еще как запустить твой скрипт icon_smile.gif
пробовал записать в файл php и запустить, пробовал bash и sh, не фунциклирует.
еще не понял куда ложить файло, в паблик хтмл домена?

1
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 18/10/12 в 11:08       Ответить с цитатойцитата 

вопрос тем кто использует трейд по странам:

там в нормальных странах чет очень сильно разброс получается. чехия, финляндия, денмарк, шведы........и рядом такие страны как зимбабве, грузия, итк.... а в плохих странах россия (русский трафик насколько я знаю подорожал последнее время, особенно мобильный), эмираты...

вы страны из списка в список переносите или по дефолту оставляете? icon_cool.gif

0
 



С нами с 28.02.12
Сообщения: 651
Рейтинг: 571

Ссылка на сообщениеДобавлено: 18/10/12 в 11:26       Ответить с цитатойцитата 

X-dream писал:


обновить сразу большое количество скриптов одной командой реально?



update url1
update url2
........
updateurl25

заходишь на сервер в свою диру, пишешь touch smartup.sh
потом vi smartup.sh
потом нажимаешь i внизу должно загореться -insert- пасте список апдейтов урлов по смарту в окно.
потом esc далее :wq далее /bin/sh smartup.sh
все, полшло обновлять поочереди каждый урл из списка.

Ночью так сделал и пошел спать, само обновилось!

1
 



С нами с 17.12.00
Сообщения: 1653
Рейтинг: 1082

Ссылка на сообщениеДобавлено: 18/10/12 в 11:40       Ответить с цитатойцитата 

как то хитро замучено. Я так сделал
в файл, например scjupd записал строки
Код: [развернуть]


и т.д.
затем bash scjupd
и тоже на бок icon_smile.gif

если не используете смартовскую ротацию и редиректы то cp .. можно убрать

0
 



С нами с 28.02.12
Сообщения: 651
Рейтинг: 571

Ссылка на сообщениеДобавлено: 18/10/12 в 12:05       Ответить с цитатойцитата 

Nikso писал:
как то хитро замучено. Я так сделал
в файл, например scjupd записал строки
Код: [развернуть]


и т.д.
затем bash scjupd
и тоже на бок icon_smile.gif

если не используете смартовскую ротацию и редиректы то cp .. можно убрать


ну я пошагово расписал, все действия.
если кратко то:
в файл smartup.sh записать строки апдейта смарта и запустить файл. Все. :-)

Кстате что б не копировать index.php out.php и прочие, удобно делать симлиньки на них.

0
 



С нами с 09.05.00
Сообщения: 2228
Рейтинг: 744

Ссылка на сообщениеДобавлено: 18/10/12 в 12:59       Ответить с цитатойцитата 

Magicum писал:
Хлопцы, /scj/top/tt/tmp.php.tt - вот это что? Оно легально?


Обнаружил похожие файлы:
/scj/top/tt/tt.php.tmp
левые?

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »