Реклама на сайте Advertise with us

Защищаем свои сиджи от взлома

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 02.09.06
Сообщения: 598
Рейтинг: 613

Ссылка на сообщениеДобавлено: 07/12/07 в 03:30       Ответить с цитатойцитата 

В последние дни все чаще взламываются сайты с добавлением яваскрипта в индексные хтмлки, причем делается это не через FTP, как это было раньше. Ситуация пока выясняется, но более-менее ясность уже есть. Делается это через ATL3! Сначала обращение к admin.cgi, потом два POST обращения к x/x2.cgi и в папке с тумб ротатором (были случаи и со стрим ротатором и смарт тумбс) появляется файл backup.php либо с пхп-шеллом, либо нулевого размера.
Делается это ботом в массовом порядке с айпишки 208.53.158.26
Заражаются разные файлы в разных папках (замечено на html, shtml, php), но не все. Также заражаются не все домены юзера подвергшегося атаке. Вот кусок лога
Код:
208.53.158.26 - - [06/Dec/2007:02:55:25 -0600] "GET /cgi-bin/at3/admin.cgi?id=13 HTTP/1.0" 200 13465 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:27 -0600] "GET / HTTP/1.0" 200 91646 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:33 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2353 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:36 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2362 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:39 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:43 -0600] "GET /sr/backup.php?l=1 HTTP/1.0" 200 52 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:47 -0600] "GET /sr/backup.php?l=2 HTTP/1.0" 200 52 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


После последнего обращения к x2.cgi появился файл backup.php.

Имеется ли дыра в atl3, или пароли были украдены трояном пока неизвестно, но мне кажется проблема в atl3. Сразу у нескольких людей одна и та же проблема, они чистят компы, даже переустанавливают ОС, но проблема все равно повторяется.
Это точно произошло не через ftp, ssh, панель управления.

http://www.askdamagex.com/t21776-p3-we-need-to-talk-security-now.html тут обсуждают эту же проблему. Там же и советы как закрыть доступ к админке атл с помощью .htaccess, также видно что с этой же айпишки и других ломают и уже не один день.
Владельцы серверов с линуксом могут забанить айпишку следующей командой файрвола:
iptables -A INPUT -s 208.53.158.26 -j DROP

Выкладывайте сюда имеющуюся информацию. Надо решать вопрос.

0
 



С нами с 02.09.06
Сообщения: 598
Рейтинг: 613

Ссылка на сообщениеДобавлено: 07/12/07 в 03:37       Ответить с цитатойцитата 

...в догонку.
Ищите у себя файлы backup.php (хотя иногда бывают и другие), а на индексных страничках в коде
Код:
var
s='3C696672616D65207372633D22687474703A2F2F3139352E352E3131362

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 07/12/07 в 10:40       Ответить с цитатойцитата 

У меня был взломан сайт таким образом, но взломан тот домен на котором не стояло ATL3, но скрипт стоял на другом домене на этом же сервере.
Код был вставлен в некоторые шаблоны AG SQL.
Именно с этого IP.
Спасибо за информацию.

ЗЫ: Нашел у себя этот файл, удалил.

4
 

Мокшень кой

С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274

Ссылка на сообщениеДобавлено: 07/12/07 в 11:14       Ответить с цитатойцитата 



Так у тебя на серваке стоит ат3, на другом домене например?

4
 

Мокшень кой

С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274

Ссылка на сообщениеДобавлено: 07/12/07 в 11:20       Ответить с цитатойцитата 

Продублирую пост Virusa

Цитата:

походу таки дырявый at3.

все улики указывают на то что файл x2.cgi содержит дырку.

Код:
.........................
это логи. как видно сначала идет запрос размером аж 2.2к на файл x2.cgi, затем вызывается backup.php. файла такого по тому пути никогда небыло. так как x2.cgi отвечает за редактирование шаблонов на сервере, то логично предположить что дырка в нем. поскольку файл, судя по анализам логов, чисто системный и в нормальной работе сиджа не участвует (так как по логам не вызывается), смело закрываем его вот таким вот .htaccess`ом:

<Files x2.cgi>
Order Allow,Deny
Allow from 10.10.10.10 20.20.20.20
</Files>

где 10.10.10.10 20.20.20.20 заменяем на свои ип адреса или оставляем один.

файл кладем рядом с x2.cgi.

4
 



С нами с 28.02.03
Сообщения: 8544
Рейтинг: 1609

Ссылка на сообщениеДобавлено: 07/12/07 в 11:22       Ответить с цитатойцитата 

тоже стакой фигней сталкивался

тоеж грешил на ATL3 но после того как эта дрянь поевилась уменя на сервере где нет скриптов а одна статика то я пришол к выводу что троян спер пароль

другова обЪяснения нет

Сдам место в подписи. Предложения в личку.

4
 

старый зануда

С нами с 26.07.03
Сообщения: 3291
Рейтинг: 1361

Ссылка на сообщениеДобавлено: 07/12/07 в 11:32       Ответить с цитатойцитата 

У меня ATL ваще никогда не было, но в один прекрасный день все индексные паги покоцали. После этого пришлось отрубиль ftpd на обоих серверах и включать по мере необходимости...

Всё для Iphone & Ipad

4
 

Мокшень кой

С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274

Ссылка на сообщениеДобавлено: 07/12/07 в 11:36       Ответить с цитатойцитата 

А я вчера все пароли поменял на серваке.
На ноуте винду переставил и пароли тока на бумажку записал icon_smile.gif
Через фтп не ходил на сервак.
Так вот вчера как раз, в течении суток, два раза ломанули icon_smile.gif

4
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 11:58       Ответить с цитатойцитата 


Я надеюсь ты сначала переустановил винду , а потом менял пароли ко всему и вся ?

4
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 12:00       Ответить с цитатойцитата 

А этот x2.cgi в бинаре распространяется или как ?

4
 

Мокшень кой

С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274

Ссылка на сообщениеДобавлено: 07/12/07 в 12:01       Ответить с цитатойцитата 

Sha писал:
Я надеюсь ты сначала переустановил винду , а потом менял пароли ко всему и вся ?


Естественно. Я на 110% уверен, что небыло кражи паролей

4
 



С нами с 13.01.03
Сообщения: 6109
Рейтинг: 1962

Ссылка на сообщениеДобавлено: 07/12/07 в 12:02       Ответить с цитатойцитата 

На дедиках - закрывайте доступ по ФТП фаирволом, для начала.
Ну а если уязвимость в самом atl, тут конечно не спасет...

4
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 12:03       Ответить с цитатойцитата 

Код:
208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

После последнего обращения к x2.cgi появился файл backup.php.

А существующий backup.php и создавшийся это разные разницы ?
А то ведь /sr/bachup.php судя по логам существует до последнего обращения к x2.cgi

PS судя по логам я склоняюсь к тому, что дыра в admin.cgi

4
 



С нами с 02.09.06
Сообщения: 598
Рейтинг: 613

Ссылка на сообщениеДобавлено: 07/12/07 в 13:06       Ответить с цитатойцитата 

Sha писал:
Код:
208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

После последнего обращения к x2.cgi появился файл backup.php.

А существующий backup.php и создавшийся это разные разницы ?
А то ведь /sr/bachup.php судя по логам существует до последнего обращения к x2.cgi

PS судя по логам я склоняюсь к тому, что дыра в admin.cgi


Не уверен как создавалось: из admin.cgi или x2.cgi, но время измения файла и время последнего обращения к x2.cgi совпадает.
Сервер был заражен подобным образом и там где был включен файрвол на фтп. На фтп могли зайти только с нескольких ИП, и логи были пустые.

0
 

Любитель хорошего ;)

С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269


Передовик Master-X (01.06.2009) Передовик Master-X (01.10.2009) Передовик Master-X (16.10.2009) Передовик Master-X (01.12.2009) Передовик Master-X (01.11.2010) Ветеран трепа Master-X (16.02.2011)
Ссылка на сообщениеДобавлено: 07/12/07 в 13:48       Ответить с цитатойцитата 

Проблема лечется разрешением доступа к admin.cgi, x2.cgi и т.п. только с определённых ip?

Отличные серверы от SGManaged!

0
 

Мокшень кой

С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274

Ссылка на сообщениеДобавлено: 07/12/07 в 15:02       Ответить с цитатойцитата 

0
 

Любитель хорошего ;)

С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269


Передовик Master-X (01.06.2009) Передовик Master-X (01.10.2009) Передовик Master-X (16.10.2009) Передовик Master-X (01.12.2009) Передовик Master-X (01.11.2010) Ветеран трепа Master-X (16.02.2011)
Ссылка на сообщениеДобавлено: 07/12/07 в 16:40       Ответить с цитатойцитата 

Ну вот, ситуация уже яснее...

Отличные серверы от SGManaged!

0
 



С нами с 28.01.06
Сообщения: 380
Рейтинг: 588

Ссылка на сообщениеДобавлено: 07/12/07 в 16:49       Ответить с цитатойцитата 

при закрытии хтиаксесом этого х2.cgi при открытой форме реги в трейд никто не сможет добавиться с ипа который не прописан в хтиаксесе
вот так вот icon_sad.gif

Buy ADS
More trades, Hosting Service

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 17:28       Ответить с цитатойцитата 

supphosting.com писал:
Не уверен как создавалось: из admin.cgi или x2.cgi, но время измения файла и время последнего обращения к x2.cgi совпадает.
Сервер был заражен подобным образом и там где был включен файрвол на фтп. На фтп могли зайти только с нескольких ИП, и логи были пустые.

А backup.php был в итоге пуст ?
Мне кажется последний вызов x2.cgi мог его просто занулить. После того как им попользовались. Ведь буквально перед тремя вызововами backup.php три вызова x2.cgi

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 17:33       Ответить с цитатойцитата 

Поэтому никогда не стоит ставить скрипты не имея исходников.
Иначе кто не успел залатать тот опоздал.
Кстати а нельзя предъявить разработчику иск ? Ведь скрипт Вы наверное покупали и его дыра нанесла ущерб.

0
 



С нами с 02.09.06
Сообщения: 598
Рейтинг: 613

Ссылка на сообщениеДобавлено: 07/12/07 в 18:25       Ответить с цитатойцитата 

Sha писал:
Поэтому никогда не стоит ставить скрипты не имея исходников.
Иначе кто не успел залатать тот опоздал.

И много ты знаешь аналогов atl3/atx с открытым кодом?
Открытые исходники ничего не гарантируют. Зашитый в Interbase пароль дававший полный доступ к БД нашли только через год после открытия исходников. Тут еще очень большой вопрос что лучше: открытый код, или закрытый.

Sha писал:
Кстати а нельзя предъявить разработчику иск ? Ведь скрипт Вы наверное покупали и его дыра нанесла ущерб.

Да-да. Автор еще и приплатит за моральный ущерб. Особенно пользователям бесплатного atl3. Всегда полезно читать термсы или лицензионное соглашение, где почти всегда сказано, что софт/услуга предоставляется как есть. Что-то не устраивает - пользуйся другим.

Количество исправленных багов влияет только на их четность, но не на оставшееся их количество.

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 18:48       Ответить с цитатойцитата 

С юридической точки зрения распространителю даже бесплатного вредоносного софта можно предъявить претензии. Термсы не спасут если код не открытый. icon_smile.gif
А открытые исходники гарантирют то, что ошибки пользователь может самостоятельно найти и исправть. Причем ДО того как ими кто-либо воспользуется.

0
 



С нами с 07.09.03
Сообщения: 4115
Рейтинг: 2060

Ссылка на сообщениеДобавлено: 07/12/07 в 19:46       Ответить с цитатойцитата 

Sha писал:
С юридической точки зрения распространителю даже бесплатного вредоносного софта можно предъявить претензии. Термсы не спасут если код не открытый. icon_smile.gif
А открытые исходники гарантирют то, что ошибки пользователь может самостоятельно найти и исправть. Причем ДО того как ими кто-либо воспользуется.


предяъвишь майкрософту иск за дырки в экплорере?

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 07/12/07 в 21:23       Ответить с цитатойцитата 

Core писал:
предяъвишь майкрософту иск за дырки в экплорере?

Им можно предъявить иск по линии защиты прав потребителей. Это если умысел не будет доказан.

0
 

размещу

С нами с 30.12.00
Сообщения: 4800
Рейтинг: 1304

Ссылка на сообщениеДобавлено: 08/12/07 в 16:44       Ответить с цитатойцитата 

тоже задницу себе прикрыл
спасибо за хороший топег

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »