С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 07/12/07 в 03:30 |
В последние дни все чаще взламываются сайты с добавлением яваскрипта в индексные хтмлки, причем делается это не через FTP, как это было раньше. Ситуация пока выясняется, но более-менее ясность уже есть. Делается это через ATL3! Сначала обращение к admin.cgi, потом два POST обращения к x/x2.cgi и в папке с тумб ротатором (были случаи и со стрим ротатором и смарт тумбс) появляется файл backup.php либо с пхп-шеллом, либо нулевого размера.
Делается это ботом в массовом порядке с айпишки 208.53.158.26
Заражаются разные файлы в разных папках (замечено на html, shtml, php), но не все. Также заражаются не все домены юзера подвергшегося атаке. Вот кусок лога
Код: | 208.53.158.26 - - [06/Dec/2007:02:55:25 -0600] "GET /cgi-bin/at3/admin.cgi?id=13 HTTP/1.0" 200 13465 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:27 -0600] "GET / HTTP/1.0" 200 91646 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:33 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2353 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:36 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2362 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:39 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:43 -0600] "GET /sr/backup.php?l=1 HTTP/1.0" 200 52 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:47 -0600] "GET /sr/backup.php?l=2 HTTP/1.0" 200 52 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" |
После последнего обращения к x2.cgi появился файл backup.php.
Имеется ли дыра в atl3, или пароли были украдены трояном пока неизвестно, но мне кажется проблема в atl3. Сразу у нескольких людей одна и та же проблема, они чистят компы, даже переустанавливают ОС, но проблема все равно повторяется.
Это точно произошло не через ftp, ssh, панель управления.
http://www.askdamagex.com/t21776-p3-we-need-to-talk-security-now.html тут обсуждают эту же проблему. Там же и советы как закрыть доступ к админке атл с помощью .htaccess, также видно что с этой же айпишки и других ломают и уже не один день.
Владельцы серверов с линуксом могут забанить айпишку следующей командой файрвола:
iptables -A INPUT -s 208.53.158.26 -j DROP
Выкладывайте сюда имеющуюся информацию. Надо решать вопрос.
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 07/12/07 в 03:37 |
...в догонку.
Ищите у себя файлы backup.php (хотя иногда бывают и другие), а на индексных страничках в коде Код: | var
s='3C696672616D65207372633D22687474703A2F2F3139352E352E3131362 |
|
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 07/12/07 в 10:40 |
У меня был взломан сайт таким образом, но взломан тот домен на котором не стояло ATL3, но скрипт стоял на другом домене на этом же сервере.
Код был вставлен в некоторые шаблоны AG SQL.
Именно с этого IP.
Спасибо за информацию.
ЗЫ: Нашел у себя этот файл, удалил.
|
|
|
|
Мокшень кой
С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274
|
Добавлено: 07/12/07 в 11:14 |
Так у тебя на серваке стоит ат3, на другом домене например?
|
|
|
|
Мокшень кой
С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274
|
Добавлено: 07/12/07 в 11:20 |
Продублирую пост Virusa
Цитата: |
походу таки дырявый at3.
все улики указывают на то что файл x2.cgi содержит дырку.
Код:
.........................
это логи. как видно сначала идет запрос размером аж 2.2к на файл x2.cgi, затем вызывается backup.php. файла такого по тому пути никогда небыло. так как x2.cgi отвечает за редактирование шаблонов на сервере, то логично предположить что дырка в нем. поскольку файл, судя по анализам логов, чисто системный и в нормальной работе сиджа не участвует (так как по логам не вызывается), смело закрываем его вот таким вот .htaccess`ом:
<Files x2.cgi>
Order Allow,Deny
Allow from 10.10.10.10 20.20.20.20
</Files>
где 10.10.10.10 20.20.20.20 заменяем на свои ип адреса или оставляем один.
файл кладем рядом с x2.cgi. |
|
|
|
|
С нами с 28.02.03
Сообщения: 8544
Рейтинг: 1609
|
Добавлено: 07/12/07 в 11:22 |
тоже стакой фигней сталкивался
тоеж грешил на ATL3 но после того как эта дрянь поевилась уменя на сервере где нет скриптов а одна статика то я пришол к выводу что троян спер пароль
другова обЪяснения нет
|
|
Сдам место в подписи. Предложения в личку.
|
4
|
|
|
старый зануда
С нами с 26.07.03
Сообщения: 3291
Рейтинг: 1361
|
Добавлено: 07/12/07 в 11:32 |
У меня ATL ваще никогда не было, но в один прекрасный день все индексные паги покоцали. После этого пришлось отрубиль ftpd на обоих серверах и включать по мере необходимости...
|
|
|
|
Мокшень кой
С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274
|
Добавлено: 07/12/07 в 11:36 |
А я вчера все пароли поменял на серваке.
На ноуте винду переставил и пароли тока на бумажку записал
Через фтп не ходил на сервак.
Так вот вчера как раз, в течении суток, два раза ломанули
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 11:58 |
Я надеюсь ты сначала переустановил винду , а потом менял пароли ко всему и вся ?
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 12:00 |
А этот x2.cgi в бинаре распространяется или как ?
|
|
|
|
Мокшень кой
С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274
|
Добавлено: 07/12/07 в 12:01 |
Sha писал: | Я надеюсь ты сначала переустановил винду , а потом менял пароли ко всему и вся ? |
Естественно. Я на 110% уверен, что небыло кражи паролей
|
|
|
|
С нами с 13.01.03
Сообщения: 6109
Рейтинг: 1962
|
Добавлено: 07/12/07 в 12:02 |
На дедиках - закрывайте доступ по ФТП фаирволом, для начала.
Ну а если уязвимость в самом atl, тут конечно не спасет...
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 12:03 |
Код: | 208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
После последнего обращения к x2.cgi появился файл backup.php.
|
А существующий backup.php и создавшийся это разные разницы ?
А то ведь /sr/bachup.php судя по логам существует до последнего обращения к x2.cgi
PS судя по логам я склоняюсь к тому, что дыра в admin.cgi
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 07/12/07 в 13:06 |
Sha писал: | Код: | 208.53.158.26 - - [06/Dec/2007:02:55:57 -0600] "GET /sr/backup.php?l=3 HTTP/1.0" 200 54 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
208.53.158.26 - - [06/Dec/2007:02:56:01 -0600] "POST /cgi-bin/at3/x/x2.cgi HTTP/1.0" 200 2250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
После последнего обращения к x2.cgi появился файл backup.php.
|
А существующий backup.php и создавшийся это разные разницы ?
А то ведь /sr/bachup.php судя по логам существует до последнего обращения к x2.cgi
PS судя по логам я склоняюсь к тому, что дыра в admin.cgi |
Не уверен как создавалось: из admin.cgi или x2.cgi, но время измения файла и время последнего обращения к x2.cgi совпадает.
Сервер был заражен подобным образом и там где был включен файрвол на фтп. На фтп могли зайти только с нескольких ИП, и логи были пустые.
|
|
|
|
Любитель хорошего ;)
С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269
|
Добавлено: 07/12/07 в 13:48 |
Проблема лечется разрешением доступа к admin.cgi, x2.cgi и т.п. только с определённых ip?
|
|
|
|
Мокшень кой
С нами с 19.08.04
Сообщения: 4273
Рейтинг: 274
|
Добавлено: 07/12/07 в 15:02 |
|
|
|
|
Любитель хорошего ;)
С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269
|
Добавлено: 07/12/07 в 16:40 |
Ну вот, ситуация уже яснее...
|
|
|
|
С нами с 28.01.06
Сообщения: 380
Рейтинг: 588
|
Добавлено: 07/12/07 в 16:49 |
при закрытии хтиаксесом этого х2.cgi при открытой форме реги в трейд никто не сможет добавиться с ипа который не прописан в хтиаксесе
вот так вот
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 17:28 |
supphosting.com писал: | Не уверен как создавалось: из admin.cgi или x2.cgi, но время измения файла и время последнего обращения к x2.cgi совпадает.
Сервер был заражен подобным образом и там где был включен файрвол на фтп. На фтп могли зайти только с нескольких ИП, и логи были пустые. |
А backup.php был в итоге пуст ?
Мне кажется последний вызов x2.cgi мог его просто занулить. После того как им попользовались. Ведь буквально перед тремя вызововами backup.php три вызова x2.cgi
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 17:33 |
Поэтому никогда не стоит ставить скрипты не имея исходников.
Иначе кто не успел залатать тот опоздал.
Кстати а нельзя предъявить разработчику иск ? Ведь скрипт Вы наверное покупали и его дыра нанесла ущерб.
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 07/12/07 в 18:25 |
Sha писал: | Поэтому никогда не стоит ставить скрипты не имея исходников.
Иначе кто не успел залатать тот опоздал. |
И много ты знаешь аналогов atl3/atx с открытым кодом?
Открытые исходники ничего не гарантируют. Зашитый в Interbase пароль дававший полный доступ к БД нашли только через год после открытия исходников. Тут еще очень большой вопрос что лучше: открытый код, или закрытый.
Sha писал: | Кстати а нельзя предъявить разработчику иск ? Ведь скрипт Вы наверное покупали и его дыра нанесла ущерб. |
Да-да. Автор еще и приплатит за моральный ущерб. Особенно пользователям бесплатного atl3. Всегда полезно читать термсы или лицензионное соглашение, где почти всегда сказано, что софт/услуга предоставляется как есть. Что-то не устраивает - пользуйся другим.
Количество исправленных багов влияет только на их четность, но не на оставшееся их количество.
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 18:48 |
С юридической точки зрения распространителю даже бесплатного вредоносного софта можно предъявить претензии. Термсы не спасут если код не открытый.
А открытые исходники гарантирют то, что ошибки пользователь может самостоятельно найти и исправть. Причем ДО того как ими кто-либо воспользуется.
|
|
|
|
С нами с 07.09.03
Сообщения: 4115
Рейтинг: 2060
|
Добавлено: 07/12/07 в 19:46 |
Sha писал: | С юридической точки зрения распространителю даже бесплатного вредоносного софта можно предъявить претензии. Термсы не спасут если код не открытый.
А открытые исходники гарантирют то, что ошибки пользователь может самостоятельно найти и исправть. Причем ДО того как ими кто-либо воспользуется. |
предяъвишь майкрософту иск за дырки в экплорере?
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 07/12/07 в 21:23 |
Core писал: | предяъвишь майкрософту иск за дырки в экплорере? |
Им можно предъявить иск по линии защиты прав потребителей. Это если умысел не будет доказан.
|
|
|
|
размещу
С нами с 30.12.00
Сообщения: 4800
Рейтинг: 1304
|
Добавлено: 08/12/07 в 16:44 |
тоже задницу себе прикрыл
спасибо за хороший топег
|
|
|
|