Smart CJ для тупых :)

cyberdream3 писал:

Как сменить лучшую тумбу в кастом гале? как сменить ту, которая представляет галю на сидже?

Rotation->List Thumbs-> под тумбой есть ещё один List Thumbs-> удаляешь те, что тебе не нравятся, оставляешь или заливаешь ту что надо.
Учитывай тот факт, что сёрферам нравится одно, а тебе другое, если её выбрал скрипт, значит её выкликали не зря. В случае если у всех тумб гали 0-вой цтр, тогда конечно стоит вмешаться и поправить на самую дрочибельную.

nudero: о точно, можно ж руками залить просто нужную тумбу. про такой варинат я что-то не подумал, спасиб.

Ну да, я просто указал путь к папке типа //сайт/папка и указал сразу кинуть в активные, без прелоада, соответственно на главную выбирается далеко не всегда самая дрочибельная.

В любом случае спасибо за советы и отдельно LemonS за терпение отвечать на вопросы

зы. Смартсидж в этом отношении молодец - просто подхаватит всё из папки, например тому же КВС нужно в зипах подсовывать

АХТУНГ !

Когда-то это должно было произойти и вот оно. Сегодня нашли дыру в скрипте. Уже залиты фиксы апдейты 48, 49 и бете 50. Что б закрыть дыру достаточно провести ап еще раз и будет все ок.

Как проверить были ли взлом у вас: проверить есть ли *.php файлы в любом из каталогов на которых пермишены 777. Конкртено в смарте это scj/tmp, scj/thumbs, scj/logs, scj/top, scj/top/tt. *.php или других исполняемых файлов быть не должно там.


Я отписал в асе тем кто обращался ко мне с вопросами о скрипте, но наверняка есть те кто не читает форум, не видят сообщения в асе и тп - если не сложно отпишите варнинг своим друзьям.

Описание дыры кому интересно:

.... описание подумал и убрал.... кому интересно - в асе.

Дырой можно было воспользоваться если есть доступ в админку.

Засада в том, что по дефолту скрипт ставится с одним и тем же паролем, а положив пхп шел на одном домене его легко размножить на другие домены на том же серваке. Те если у вас был хоть 1 домен с дефолтным паролем - можно положить файл на любой домен в пределах сервака.

Сорри за багу, спасибо пользователям за соощение. Пофикшено как только появились данные о проблеме.

Последний раз редактировалось: LemonS (17/10/12 в 21:33), всего редактировалось 1 раз

Те взлом только через админку?

Sanman: других вариантов в данный момент не обнаружено.

По действиям что надо сделать:

1. поискать пхп файлы во всех каталогах на которых стоит 777 пермишены, те куда теоретически можно закинуть вебшел

find . -type d -perm 777 -exec find {} -name "*.php" \;

и посмотреть найденные файлы. Если там чего непонятное - лучше файл переименовать. Если не ясно "непонятное" оно или нет - велкам в асю.


Что стоит проверить если у вас есть вебшел: (из того что с ходу пришло в голову)

1. вебшел не может менять файлы созданные от юзера (вот почему мне нравится вариант обновления через шел), те в файлах in\out.php подмены быть не должно (в файлах smartcj по крайней мере, они созданы от юзера). Однако с вебшелом можно получить доступ к базе данных и в ней сменить урл какого из трейдеров.
Думаю хороший вариант сделать что-то вроде

SELECT td, tu FROM traders where system_trade = 0

и посмотреть что там нет левых урлов.


2. дописать какой-то код в темпелйты, из страшного что приходит в голову это только eval соответственно

select * from rot_pages where template like '%eval(%'

это можно сделать сейчас руками, а так же эти проверки сейчас дописываются в апдейты.

3. подумалось что еще какой то редирект может быть в темпелйтах , можно поискать например location.href

select * from rot_pages where template like '%location.href%'



пост дописывается как будут новости.

LemonS: может вообще сделать как у смарттумбс лок, анлок всех файлов?
На диры топа и темпы через .htaccess на запрет исполнения php/cgi?

Дозалили в апдейты создание .htaccess
с RemoveHandler .php .phtml .php3
в каталогах где могут чего положить.

JM: одновременно написали сообщения

Сейчас еще будет напина чекалка "левых" файлов и базы.

Народ, а что за последствия то?
Ну ломанули, ну куча левых пхп и что? что они делают, хитбот, троян, спам?!
а вот список моих левых пхп:
bd.php
cron.php
tt.php.tmp

выглядят как шелы. через них потом можно много чего плохого сделать, просто не успели

Рекомендую прогнать на сервере вот такой скрипт (он сразу покажет где есть проблемные домены и поправит права на htaccess файл заодно):

Код: [развернуть]

#!/bin/sh files="$(ls)" for d in $files; do         dir="$d/www/scj"         if [ -d $dir ] ; then                 echo $dir:                 chmod 644 $dir/logs/.htaccess                 echo "deny from all" > $dir/logs/.htaccess                 ls -laT $dir/logs/*.php                 rm -i $dir/logs/*.php                 ls -laT $dir/top/tt/bd.php                 rm -i $dir/top/tt/bd.php                 ls -laT $dir/rot_pages/rot.php                 rm -i $dir/rot_pages/rot.php         fi done

DiamonD: спасибо

DiamonD писал:

Рекомендую прогнать на сервере вот такой скрипт (он сразу покажет где есть проблемные домены и поправит права на htaccess файл заодно): Код: [развернуть] #!/bin/sh files="$(ls)" for d in $files; do         dir="$d/www/scj"         if [ -d $dir ] ; then                 echo $dir:                 chmod 644 $dir/logs/.htaccess                 echo "deny from all" > $dir/logs/.htaccess                 ls -laT $dir/logs/*.php                 rm -i $dir/logs/*.php                 ls -laT $dir/top/tt/bd.php                 rm -i $dir/top/tt/bd.php                 ls -laT $dir/rot_pages/rot.php                 rm -i $dir/rot_pages/rot.php         fi done

спасибо за скрипт, уже вычищаю говно.

Кстате скриптег не чистит /scj/top/tt/tt.php.tmp

У смартсиджа есть адвансед темплейты для туба, ну там с регой юзеров, фейворитами, каментами...
Есть где то пример глянуть, как оно выглядит в работе?
Ну или мож отзыв кто нить напишет, кто ставил и пользовал.
А то я в раздумиях, смартсидж в таком виде заюзать под туб(без трейда, на эмбедах) или чот другое взять

Хлопцы, /scj/top/tt/tmp.php.tt - вот это что? Оно легально?

Лемон сказал что нет.

Цитата:

Те взлом только через админку?

тоже интересно. если все пароли были поменяны, то есть шанс что чето не так?

обновить сразу большое количество скриптов одной командой реально?

DiamonD порекомендуй еще как запустить твой скрипт
пробовал записать в файл php и запустить, пробовал bash и sh, не фунциклирует.
еще не понял куда ложить файло, в паблик хтмл домена?

вопрос тем кто использует трейд по странам:

там в нормальных странах чет очень сильно разброс получается. чехия, финляндия, денмарк, шведы........и рядом такие страны как зимбабве, грузия, итк.... а в плохих странах россия (русский трафик насколько я знаю подорожал последнее время, особенно мобильный), эмираты...

вы страны из списка в список переносите или по дефолту оставляете?

X-dream писал:

обновить сразу большое количество скриптов одной командой реально?

update url1
update url2
........
updateurl25

заходишь на сервер в свою диру, пишешь touch smartup.sh
потом vi smartup.sh
потом нажимаешь i внизу должно загореться -insert- пасте список апдейтов урлов по смарту в окно.
потом esc далее :wq далее /bin/sh smartup.sh
все, полшло обновлять поочереди каждый урл из списка.

Ночью так сделал и пошел спать, само обновилось!

как то хитро замучено. Я так сделал
в файл, например scjupd записал строки

Код: [развернуть]

cd /usr/home/domains/domain.com/public_html/scj/admin; env HTTP_HOST=domain.com php update.php cp ../cgi/index.php ../../index.php cp ../cgi/out.php ../../out.php cd /usr/home/domains/domain2.com/public_html/scj/admin; env HTTP_HOST=domain2.com php update.php cp ../cgi/index.php ../../index.php cp ../cgi/out.php ../../out.php

и т.д.
затем bash scjupd
и тоже на бок

если не используете смартовскую ротацию и редиректы то cp .. можно убрать

Nikso писал:

как то хитро замучено. Я так сделал в файл, например scjupd записал строки Код: [развернуть] cd /usr/home/domains/domain.com/public_html/scj/admin; env HTTP_HOST=domain.com php update.php cp ../cgi/index.php ../../index.php cp ../cgi/out.php ../../out.php cd /usr/home/domains/domain2.com/public_html/scj/admin; env HTTP_HOST=domain2.com php update.php cp ../cgi/index.php ../../index.php cp ../cgi/out.php ../../out.php и т.д. затем bash scjupd и тоже на бок если не используете смартовскую ротацию и редиректы то cp .. можно убрать

ну я пошагово расписал, все действия.
если кратко то:
в файл smartup.sh записать строки апдейта смарта и запустить файл. Все. :-)

Кстате что б не копировать index.php out.php и прочие, удобно делать симлиньки на них.

Magicum писал:

Хлопцы, /scj/top/tt/tmp.php.tt - вот это что? Оно легально?

Обнаружил похожие файлы:
/scj/top/tt/tt.php.tmp
левые?