Реклама на сайте Advertise with us

Взлом TradePulse

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 12/09/11 в 13:31       Ответить с цитатойцитата 

Уважаемые АВМы, рекомендую проверить на серверах наличие файла inc_js.php - пхп шелл, который мог появится на сервере вследствие обновления трейдпульса.
искать можно так:
locate inc_js.php
или
cd /PATH/TO/WEB/CONTENT
find ./ -name inc_js.php

если есть - то желательно отписать в личку, нам нужно собрать инфо по взлому.

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 12/09/11 в 14:23       Ответить с цитатойцитата 

У меня не нашло.
А в каком смысле "вследствие обновления"?

0
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 12/09/11 в 14:39       Ответить с цитатойцитата 

Нужно удалить файлы, заменить filter.php, updater.php из свежего инсталла.

желательно предоставить нам аксес логи фронтенда.

если на сервере небыло защиты ssh/ftp/админок - проверить версию ssh

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

0
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 12/09/11 в 14:48       Ответить с цитатойцитата 

25го августа нас 'обновили'. Кто успел обновится в это время, получил filter.php с подгрузкой какой-то рекламы, + пропатченный апдейтер, который не обновлял filter.php.

Чтобы исправить ситуацию, пострадавшим надо скачать updater.zip, и залить его содержимое в папку /tp/

Завтра я планирую выложить 30й апдейт, в котором:
1. Все файлы для апдейтов будут браться из амазоновского хранилища S3, доступ к которому есть только у меня. То есть подсунуть фейковые файлы для апдейта злоумышленникам будет невозможно.
2. Автоматически убьется файл tp/inc_js.php, если он есть. Есть он далеко не у всех, логика его выборочного появления мне не ясна.

Найти пидора который влез на наш сервер пока не получается, следы ведут на сервер cgi.bz (хостится на русском хостинге), и к партнерке с акком http://www.clayaim.com/index.php?ref=webex
Абузы отписал, но что толку от них...

Buran | Progress

0
 



С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970

Ссылка на сообщениеДобавлено: 12/09/11 в 14:55       Ответить с цитатойцитата 

Kildoozer писал:
Найти пидора который влез на наш сервер пока не получается, следы ведут на сервер cgi.bz (хостится на русском хостинге), и к партнерке с акком http://www.clayaim.com/index.php?ref=webex
Абузы отписал, но что толку от них...

О, знакомые лица.

(Лечение!) Ахтунг атакуют топы или дыра GB Top


.

0
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 14/09/11 в 21:18       Ответить с цитатойцитата 

Kildoozer:
Была бы крайне полезна утилита для проверки хешей файлов.

0
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 22/11/11 в 15:28       Ответить с цитатойцитата 

Если бы только inc_js... Реально рекомендую поставить чистую инсталляцию в отдельную папочку, а потом сравнить рабочую диру tp с чистой:

$ diff -qr /path/to/clean/tp /path/to/working/tp | grep php

Там целый зоопарк, нахрен. А я, дурак, это говно покупать собирался.

0
 



С нами с 02.10.08
Сообщения: 36
Рейтинг: 5

Ссылка на сообщениеДобавлено: 22/11/11 в 16:03       Ответить с цитатойцитата 

год на пульсе сидел. попрощался после очередного апдейта, когда вставка инклюда, что через хтассес, что напрямую в страницу на двух разных серверах начала давать серьезные тормоза при отрытии сиджа с любого адреса(страны).
протон, кстати этим не начал страдать, не смотря на апдейт, но если бы килдозер вместо плакаться о том, что протон его личный продукт и ему его интересней продавать, чем пульс, хоть немного довел его до современных реалий - лучший трейд-скрипт был бы.

0
 



С нами с 19.04.05
Сообщения: 1577
Рейтинг: 957

Ссылка на сообщениеДобавлено: 22/11/11 в 20:54       Ответить с цитатойцитата 

Kildoozer это не коснулось Progress или Proton ?

Link Trade - блоги в Art,Comics,Hentai,3D и тп - 338198557

0
 



С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522

Ссылка на сообщениеДобавлено: 22/11/11 в 20:57       Ответить с цитатойцитата 



вроде нет smail54.gif

Адалт умер, а мы всего лишь черви, доедающие его труп.
Angry Bull, 2018.

1
 



С нами с 13.09.04
Сообщения: 479
Рейтинг: 799

Ссылка на сообщениеДобавлено: 22/11/11 в 21:41       Ответить с цитатойцитата 

Ara Man: это ты так думаешь icon_smile.gif
а я уже сношу все

1
 



С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522

Ссылка на сообщениеДобавлено: 22/11/11 в 21:49       Ответить с цитатойцитата 

100% нет icon_smile.gif

Адалт умер, а мы всего лишь черви, доедающие его труп.
Angry Bull, 2018.

0
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 22/11/11 в 21:59       Ответить с цитатойцитата 

Протон и прогресс расположены каждый на своем сервере, и взломаны НЕ БЫЛИ.
Взломали (в августе) сервер моего партнера по Трейд-пульсу. Сразу же после этого я перенес все файлы пульса на амазоновское хранилище S3, то есть в данный момент угрозы повторного взлома быть не может никак.

Buran | Progress

-1
 



С нами с 10.10.07
Сообщения: 339
Рейтинг: 404

Ссылка на сообщениеДобавлено: 22/11/11 в 22:07       Ответить с цитатойцитата 

Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.

как временное решение (для неаврального перехода на другие скрипты icon_smile.gif) - отключение функций
disable_functions = "popen,exec,system,passthru,proc_open,shell_exec" ...

но часть функционала скриптов может нарушится, а включение open_basedir в данном случае никак не поможет.

Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!)

http://soft-com.biz/ - Администрирование серверов, 24/7 тех.поддержка и мониторинг.

2
 



С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628


Передовик Master-X (16.03.2018)
Ссылка на сообщениеДобавлено: 22/11/11 в 23:16       Ответить с цитатойцитата 

Soft-Com писал:

Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!)

А можно поподробнее как это сделать?

0
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 23/11/11 в 00:11       Ответить с цитатойцитата 

Кстати да, 109.201.

1
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 23/11/11 в 10:25       Ответить с цитатойцитата 

Soft-Com писал:
Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.


У нас НИЧЕГО не осталось из бяки. Все обращения со стороны админок за новыми файлами идут исключительно на амазон, там все чисто и подмены файлов быть не может технически. Повторюсь, это относится только к пульсу, протон и прогресс никак не пострадали так как находятся на наших собственных серверах.
Если что-то и осталось, то на серверах пользователей, и я сам, лично, вычищаю серверы клиентов по мере обращения ко мне с такими просьбами.
Если разом вычистить все шеллы с сервера и обновить копии пульса до последней версии - ничего больше не появится. Никакого 'взлома структуры апдейтов' нету уже 2 месяца как.

Buran | Progress

0
 

IDDQD

С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710

Ссылка на сообщениеДобавлено: 23/11/11 в 10:33       Ответить с цитатойцитата 

еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного.

0
 



С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147

Ссылка на сообщениеДобавлено: 23/11/11 в 11:33       Ответить с цитатойцитата 

проверяйтесь ребята, нам два дня делали подмены файлов, меняли in.php стрима, инклудили свое говно в темплейты линкорганайзера и т.д.

0
 



С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628


Передовик Master-X (16.03.2018)
Ссылка на сообщениеДобавлено: 23/11/11 в 12:43       Ответить с цитатойцитата 

Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика?

0
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 23/11/11 в 12:53       Ответить с цитатойцитата 

Kildoozer:
Я хотел бы напомнить, что два года назад я нашел XSS в форме заявки на трейд, о чем сообщил по аське. Это было закрыто через полгода, хотя проблема лечилась добавлением одной функции в обработку параметра. Теперь взломали сервер обновлений (!). Все это говорит об абсолютно наплевательском отношении к безопасности, причем появление XSS в скрипте, в котором только одна форма, это 3.14здец полнейший.
Нет никаких гарантий, что "ничего больше не появится". Я, конечно, восхищен, что скрипт "уже 2 месяца как" не ломали, но на фоне такого урона репутации еще и в два раза повышать процент отобранных кликов - это просто супер.

DrumNBreaks:
Кстати спасибо, в стрим тоже положили %)

CraZ:
Поставь на новый домен чистый пульс, а затем сравни директории чистого и проверяемого на предмет файлов php,phtml итд, которых нет в чистой установке.

0
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 23/11/11 в 12:53       Ответить с цитатойцитата 

CraZ писал:
еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного.

Есть несколько файлов, которые чаще всего используются для шеллов. Причем рсполагаются они вне папки tp:
.php (без имени)
crond.php - обычно лежит в папках внутри 'st'
ssi.php - аналогично.
Но, как сами понимаете, могут использоваться и другие имена файлов. Особенности:
1. имя *.php - это понятно
2. содержит либо eval(base64_decode( во второй строке,
3. либо зазенденый файл, ищите подстроку halt_compiler(),
4. либо закрытый ионом, ищите к примеру _il_exec

В пульсе есть сканер файлов, который проверяет ВСЕ *.php файлы внутри tp на принадлежность к скрипту и на соответствие чексуммы файлов последней версии.

Buran | Progress

0
 



С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147

Ссылка на сообщениеДобавлено: 23/11/11 в 13:05       Ответить с цитатойцитата 

Barkley писал:
Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика?

вот как было у меня: если вы недавно делали апдейт стрима и обнаружили что он снова просит апдейта и апдейтится только один файл in.php значит это попадос.
причем со своего нидерланд айпи на сайте не было ничего подозрительного. подсказал один из трейдеров, он обнаружил редирект для американского айпи, за что ему было сказано спасибоicon_smile.gif
ну это один из случаев. какие еще скрипты могут поломать хз

1
 



С нами с 16.10.09
Сообщения: 343
Рейтинг: 419

Ссылка на сообщениеДобавлено: 23/11/11 в 15:35       Ответить с цитатойцитата 

Мне клали еще phtml.

0
 

IDDQD

С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710

Ссылка на сообщениеДобавлено: 24/11/11 в 07:13       Ответить с цитатойцитата 

будем смотреть, пока не понятно почему не горит надпись что можно обновиться, стоит Version 1.0.6 build 35 а уже новых смотрю куча

видимо по этому? над ставить на сервак это ?)
This build can't be installed because you haven't latest IonCube Loader installed on the server

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »