Взлом TradePulse

Kildoozer писал:

Есть несколько файлов, которые чаще всего используются для шеллов. Причем рсполагаются они вне папки tp: .php (без имени) crond.php - обычно лежит в папках внутри 'st' ssi.php - аналогично. Но, как сами понимаете, могут использоваться и другие имена файлов. Особенности: 1. имя *.php - это понятно 2. содержит либо eval(base64_decode( во второй строке, 3. либо зазенденый файл, ищите подстроку halt_compiler(), 4. либо закрытый ионом, ищите к примеру _il_exec В пульсе есть сканер файлов, который проверяет ВСЕ *.php файлы внутри tp на принадлежность к скрипту и на соответствие чексуммы файлов последней версии.

как этот сканер запустить, чет не вижу ? или билд новый надо

Noobus Boobus писал:

Реально рекомендую поставить чистую инсталляцию в отдельную папочку, а потом сравнить рабочую диру tp с чистой:

Установил на новый домен новый скрипт, и сравнил уже с рабочим и нашел вроде лишние файлы в рабочем скрипте:
tp/cron.last
tp/crontest.php
tp/ic_check.php
tp/in.php
Их что можно смело удалять ? или необходимо

Kildoozer писал:

надо скачать updater.zip, и залить его содержимое в папку /tp/

как луче поступить ?

П.с. вроде редиректа и что трафик куда в другое место отправляет не замечаю

Дольчик ххх писал:

Установил на новый домен новый скрипт, и сравнил уже с рабочим и нашел вроде лишние файлы в рабочем скрипте: tp/cron.last tp/crontest.php tp/ic_check.php tp/in.php Их что можно смело удалять ? или необходимо как луче поступить ?

Это наши файлы, не надо их удалять

CraZ писал:

как этот сканер запустить, чет не вижу ? или билд новый надо

Он появился в 40м билде, меню Tools -> Scanner

Обновил на двух сайтах пульс до Version 1.0.7 build 41
Проверил сканером, везде выдало вот это:
Wrong files
tp/crontest.php File has renamed to tp/crontest.php_
tp/in.php File has renamed to tp/in.php_
tp/data/algos/TradePulse/backup.php File has renamed to tp/data/algos/TradePulse/backup.php_

Значит все-таки подломили?

у меня пока 35-й билд. и там они как переименовало у тебя выглядят. у тебя может вообще древний билд был ?)

Еще один способ замаскировать это решето при помощи .htaccess:

Код: [развернуть]

<FilesMatch out.php>         Allow from all </FilesMatch> <FilesMatch img.php>         Allow from all </FilesMatch> <FilesMatch filter.php>         Allow from all </FilesMatch> <FilesMatch trade.php>         Allow from all </FilesMatch> <FilesMatch ssi_in.php>         Allow from all </FilesMatch> Allow from your.ip.add.ress # сюда ваш основной айпи для доступа Allow from server.ip.add.ress # сюда айпи сервера для статистики сети Deny from all

Если тумбы раздаются апачем, можно в thumbs написать что-то такое:

Код: [развернуть]

<filesmatch "\.(jpe?g|gif|png)$"> allow from all </filesmatch>

Barkley:
Насколько я помню, правильный файл называется ssi_in.php (http://scriptpulse.com/tp/manual/incoming-trackers.php)

Есть еще проверка: попробовать зайти на этот файл напрямую браузером. Если там вот такой код, то это гарантированно вебшелл:

Код:

<pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>

протестил сканером все сайты. везде чисто. стоит сапорт дергать чтобы проверили шелы эти лии как там ? ))

Kildoozer писал:

Это наши файлы, не надо их удалять

килдозер, объясни, пожалуйста, (ошибся с версиями) Version 1.0.7 build 41 - сейчас эта, отключена. вставка в морду инклюда, либо тоже самое через хтасесс, начало вызывать тормоза при загрузке страницы. проверял обе версии пульса - с разными кодировщиками. протон на тех же серверах не тормозит.