Реклама на сайте Advertise with us

Киргизский Хакер и взломы TP

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 17/02/12 в 19:16       Ответить с цитатойцитата 

Тут че надумал.. ни к кому странный трейдер не добавлялся или в вп новый юзер?

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

8
 

местный

С нами с 10.08.03
Сообщения: 1578
Рейтинг: 2362


Передовик Master-X (16.09.2011) Передовик Master-X (01.10.2011)
Ссылка на сообщениеДобавлено: 18/02/12 в 10:24       Ответить с цитатойцитата 

Насчет скриптов - стоял стрим ротатор, ат3.
Взлом был через стрим походу сделан.

Код вставлялся в самый конец после шаблона. Т.е. код был не в шаблоне, а походу в in.php или другом файле (не index.php). И показывался исключительно определенным странам. Для европейского ИП не показывался, а для американского показывался

Покупаю сайты с доходом - ДОРОГО!

8
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 18/02/12 в 10:35       Ответить с цитатойцитата 

xDiver писал:
Взлом был через стрим походу сделан.


а может через панель хостенга? icon_wink.gif есть мнение что все панели дырявые...

1
 

местный

С нами с 10.08.03
Сообщения: 1578
Рейтинг: 2362


Передовик Master-X (16.09.2011) Передовик Master-X (01.10.2011)
Ссылка на сообщениеДобавлено: 18/02/12 в 11:43       Ответить с цитатойцитата 

Может и через панель, но я не нашел конкретно файла где стоит вредоностный код. Он вставлялся ровно после инклуда стрима в индексе. В шаблонах стрима, как я уже писал, пусто.

Решил проблему обновив стрим до последней версии, ну и перенес на свой сервер само собой с фрихоста

Покупаю сайты с доходом - ДОРОГО!

9
 



С нами с 09.05.08
Сообщения: 225
Рейтинг: 155

Ссылка на сообщениеДобавлено: 25/02/12 в 00:33       Ответить с цитатойцитата 

кто подскажет, чем можно Trade Pulse заменить? заебался я с этими взломами, ломают только его. На сервере есть еще сайты, без Trade Pulse, никогда с ними проблем не было.

2
 
+ +
клоны загельмахера

С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943


Передовик Master-X (01.03.2012)
Ссылка на сообщениеДобавлено: 25/02/12 в 08:08       Ответить с цитатойцитата 

Crystal мне больше чем TP нра, я поменял давно ... правда сча хочу TradeX попробовать, дюже там лиц дешовые ...

так то в общем-то мне скрипты Килдозера нра тоже, но бля вечно с ними какаято хуйня, то домены прекспарятся с апдейтами и скрипты хуйни какой-то накачают, то ломают чета ...

хотя в данном случае наверно TP не причем ... не у всех же поломали

бандера придет - пизды огребет

4
 



С нами с 13.09.04
Сообщения: 479
Рейтинг: 799

Ссылка на сообщениеДобавлено: 25/02/12 в 16:53       Ответить с цитатойцитата 

Тоже постоянно взламывали TP пару месяцев назад на нескольких сиджах, заменили все на Crystal, всё ок стало и сиджи выросли

3
 



С нами с 01.10.05
Сообщения: 85
Рейтинг: 44

Ссылка на сообщениеДобавлено: 26/02/12 в 02:50       Ответить с цитатойцитата 

SkyKiller писал:
Братцы, а вы вообще про .ftpaccess когда-нибудь слышали? smail101.gif


нет, раскажите пожалуйста, добрый человек

0
 



С нами с 19.04.03
Сообщения: 4743
Рейтинг: 3194


Передовик Master-X (01.09.2011)
Ссылка на сообщениеДобавлено: 26/02/12 в 14:39       Ответить с цитатойцитата 

cdroller писал:

так то в общем-то мне скрипты Килдозера нра тоже, но бля вечно с ними какаято хуйня, то домены прекспарятся с апдейтами и скрипты хуйни какой-то накачают, то ломают чета ...


помню давненько(кажется с протоном) был шум, что сливали процент с трафа на какое-то дерьмо ... проду подорвало сильно моим проектам, так обхожу стороной. Как видно не напрасно перебздел icon_smile.gif

выделенные сервера 100Mbps Unmetered от $39 + толковые админы

0
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 26/02/12 в 14:52       Ответить с цитатойцитата 

мне из трейд скриптов больше всего arrowscripts нравится как траф раздает...

0
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 26/02/12 в 15:01       Ответить с цитатойцитата 

Только собрался топик здесь новый создавать и увидел эту тему.

Все началось со взлома сервера моего партнера по проекту TradePulse в августе прошлого года.
Хакер влез на сервер, подсунул в дистрибутив скрипта бэкдор и распространил апдейт скрипта, заразив кучу серверов. Дальше был полный атас, столько грязи в свой адрес мы никогда не получали. Куча наших клиентов обвинили нас во всех смертных грехах, многие ушли от нас, кто-то потребовал материальной компенсации. Мы ДО СИХ ПОР чистим серверы клиентов от его дряни. Насколько я знаю этот же урод взломал скрипт GB Top несколько лет назад.
Стали разбираться что это за мразь это сделала. Чел особо не напрягался и ходил без проксей cо своей киргизской IP (у меня уже килобайты логов). Каждую строчку ниже я могу запруфить без проблем.

Если кто-то может пополнить список его данных - выкладывайте здесь, я думаю это будет полезно для всех. Вот что мы накопали:


Ники:
Nexxen
Nexxxen
Weber (не путать с нормальным вэбером icon_smile.gif)
Засвечен на хакерских форумах.

ICQ: 416906019

Мыла используемые мразью:
weber.poster@gmail.com
webex.post@gmail.com
weber@rbcmail.ru
zxxxz@rbcmail.ru
nexxxen@gmail.com - acc id в PayPal


WMID 101440429534. Персональный аттестат, получен в г. Бишкек, Киргизия.
https://passport.webmoney.ru/asp/certView.asp?wmid=101440429534
WMR кошелек R468875429910


Сайты урода:
gettraf.org - система 'раскрутки' сайтов
xtds.in - тдска
webexpress.name - бывший лол%%тный топ
crv.cc - раздача рекламы на зараженные сайты
cgi.bz - аналогично
hrv.bz - аналогично

Сайты хостятся у русского хостера x5x.ru, мои абузы они игнорят под предлогом 'мы проверили, ничего страшного у него не обнаружили'. Те еще уроды.

Реклама грузится таким способом:

Код: [развернуть]


- выдача только для 'хороших стран' типа US, DE и тп.
Вот пример ответа с рекламой:
Код: [развернуть]


Владелец первого сайта оказался адекватным и забанил урода.
Владелец второго сайта на контакт не идет.

13
 

Old Oil Barrel

С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265


Передовик Master-X (16.07.2005) Передовик Master-X (16.10.2005) Передовик Master-X (01.12.2006) Передовик Master-X (01.03.2007) Передовик Master-X (16.03.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 26/02/12 в 16:20       Ответить с цитатойцитата 

домен регистратору его домены лочить не пробовали?
есть еще ведь ИКАН они я думаю такой безпредел терпеть не будут?

Правило буравчика

9
 



С нами с 19.04.03
Сообщения: 4743
Рейтинг: 3194


Передовик Master-X (01.09.2011)
Ссылка на сообщениеДобавлено: 26/02/12 в 16:27       Ответить с цитатойцитата 

+1 smail54.gif

выделенные сервера 100Mbps Unmetered от $39 + толковые админы

8
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 26/02/12 в 19:05       Ответить с цитатойцитата 

Kildoozer: новая версия TP безопасна или нет?

0
 
+ +
клоны загельмахера

С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943


Передовик Master-X (01.03.2012)
Ссылка на сообщениеДобавлено: 26/02/12 в 19:24       Ответить с цитатойцитата 

Нихуя се ... какой там ИКАН в пизду ... там по кошелькам и никам погуглить, так чел еще и ддосит кого-то там периодически ... сдать в ментовку все что накопаете и норм его примут, эт когда инфо нету то никто бегать искать не будет, а если все предоставить, то с руками оторвут, по телевизору хоть посмотрим на кренделя ... Если до этого никто не сподобится ему башку проломить ...

бандера придет - пизды огребет

15
 



С нами с 09.11.04
Сообщения: 319
Рейтинг: 499

Ссылка на сообщениеДобавлено: 26/02/12 в 19:35       Ответить с цитатойцитата 

X-dream писал:
Kildoozer: новая версия TP безопасна или нет?

Уже давно все безопасно.
Как говорится - нет худа без добра. Благодаря 'киргизу' мы переделали механизм обновлений скрипта, сделав его намного более секьюрным. Если не вдаваться в детали, то сейчас повторить 'апдейт' как в августе практически невозможно, для этого придется ломать сразу 3 независимых сервера.
Те 'хаки' что сейчас всплывают - это все отголоски того апдейта, в августе. Мы чистим серверы по первой просьбе, но порой откопать дыру на огромном сервере непросто. Даже если 1 файл мы пропустим, он потом все восстанавливает и распихивает свое дерьмо по новым папкам, шифруясь под нормальные скрипты.

Еще раз - все новые инсталляции абсолютно безопасны.

12
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 26/02/12 в 23:19       Ответить с цитатойцитата 

Kildoozer писал:
но порой откопать дыру на огромном сервере непросто. Даже если 1 файл мы пропустим, он потом все восстанавливает и распихивает свое дерьмо по новым папкам, шифруясь под нормальные скрипты.


хм...

ну вот я на дримхосте, пока TP не снёс с трех доменов, всё возвращалось. снёс тп, обновил вп, и вроде больше не возвращалось. потом перенес все на дедик, вроде нормально, ничего такого нету. тфу тфу тфу.

правильный админ = лучшая защита от хакеров )

2
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 27/02/12 в 02:23       Ответить с цитатойцитата 

Грепнуть пхп файлы на предмет шелл вызовов и eval, грепнуть хтаксесы на предмет AddType. Пробежаться по списку созданных апачем файлов. И все бекдоры как на ладони даже в очень большой помойке.

Правда если хакер повысил привилегии - то можно идти об стену биться.

И разработчики скриптов: вот блять нельзя никак обойтись без шелл экзеков в веб-скриптах? Так бы в мод_пхп отключить шеллы вообще нахер и все. Ультимейт дефенс.

Но нет же, имажмажик надо вызывать шеллом а не апишкой! И обязательно через веб, не не через cli.

8
 



С нами с 13.09.04
Сообщения: 479
Рейтинг: 799

Ссылка на сообщениеДобавлено: 27/02/12 в 15:10       Ответить с цитатойцитата 

X-dream писал:
пока TP не снёс с трех доменов, всё возвращалось

та же самая фигня, пока ТР не снесли, всё возвращалось

5
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 27/02/12 в 16:10       Ответить с цитатойцитата 

мне тп нравится как скрипт. в нем есть много фишек))

желаю овнерам - удачи, безопасности, и чтоб клиенты не уходили изза таких мелочей.

1
 



С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147

Ссылка на сообщениеДобавлено: 27/02/12 в 22:58       Ответить с цитатойцитата 

да, было дело. подменял in.php в стриме (можно проверить, если вы знаете что у вас последняя версия но скрипт предлагает апдейт и апдейтит только файл in.php), подменял файлы-инклуды от линк органайзера, а этот инклуд был на всех сайтах

4
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 28/02/12 в 12:54       Ответить с цитатойцитата 

Kildoozer скажите, а если раньше, на сайтах была реклама(не моя), после вирусного апдейта, потом эти скрипты проабгрейдил, до последней версии: 1.0.8 build 43 Вроде все чисто... Может ли остаться еще угрозы, что опять появится сторонняя реклама, и как вам отдать сервер для проверки, платно ли, и что для этого необходимо?! icon_wink.gif

0
 



С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522

Ссылка на сообщениеДобавлено: 28/02/12 в 13:17       Ответить с цитатойцитата 



kildoozer(ГАВ)gmail.com smail54.gif

0
 



С нами с 21.06.11
Сообщения: 392
Рейтинг: 216

Ссылка на сообщениеДобавлено: 03/03/12 в 07:13       Ответить с цитатойцитата 

Добрый вечер, товарищи, сегодня постучался человек, начал гуглить, так как каждого клиента проверяем и наткнулся на эту тему, что скажете?

"Здравствуйте, хотел бы обменять 6800 USD на Webmoney.
Статус аккаунта: Verified / Проверенный.
Счет зарегистрирован в Кувейте, Paypal-Email: nexxxen@gmail.com .
Средства зачислены с партнерки trafficrevenue.net. Мой WMID: 101440429534 .
Если требуются скины могу скинуть.
Какой процент сможете сделать под данную сумму?"

0
 

На пенсии

С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370


Передовик Master-X (01.02.2014)
Ссылка на сообщениеДобавлено: 03/03/12 в 09:34       Ответить с цитатойцитата 

Вот тема (Лечение!) Ахтунг атакуют топы или дыра GB Top полуторогодовалой давности с этого айпи 94.143.197.2 этот киргиз сломал топы и заразил все даже стрим и кристал. В итоге при заходе на сайт редиректило на фарму. Я потом нашел сайт с которого этот сука заливал бэкдоры отписал хостеру что мол у вас хакер все дела, а они тупо сказали что не могут контролировать каждого. Ну хули я им депешу что мол мои юристы собирают в отношении взлома моего сервера материалы и вы будите конфигурировать в деле как хост предоставлявший услуги хакеру. После этого сам овнер вышел на связь долго извинялся за своих дебилов сотрудников и просто снесли нах его сайт, хост и все прочее что было на нем.

Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор сайта

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »