Реклама на сайте Advertise with us

Похоже, что 16-й билд ат3 такой же дырявый... :(

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

worldtraffic.trade

С нами с 20.08.06
Сообщения: 2836
Рейтинг: 2309

Ссылка на сообщениеДобавлено: 04/01/08 в 11:08       Ответить с цитатойцитата 

saaas писал:
А никто не заметил что у всех кого поламали стоит стрим ротатор? icon_smile.gif
Так что может не туда капаем а?


были взломы де стоял смарт + at3 так что скорее всего at3 дырявый на все 100
плохо что арова не хрена не делает

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 04/01/08 в 11:17       Ответить с цитатойцитата 

geCTP писал:
а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?

И после этого удалить волшебным образом из логов обращения к стриму и оставить только к ат? icon_smile.gif

.

0
 



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 04/01/08 в 13:56       Ответить с цитатойцитата 

doomed писал:
Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).


здание, здоровье, здесь...

чего ты не видишь-то?... русским по белому написал, в логах обращение к x2.cgi, после чего появляется бекап.пхп и вставляется ифрейм... айпи атаки как и в прошлые разы - виртуал из Эстонии...

а топик этот появился, не потому что "опять сломали", а потому, что везде был 16 билд, который как бы пофиксили уже...

пысы: стрим не юзаю...

0
 



С нами с 19.07.04
Сообщения: 738
Рейтинг: 370

Ссылка на сообщениеДобавлено: 04/01/08 в 14:36       Ответить с цитатойцитата 

Док.. сайнап формы на момент взлома открыты были? или форму уже не задействуют и идут напрямую к x2.cgi ? После того как пропатчился до 16 билда проверял сервер на возможные "хвосты"?
Супорту ат3 будеш писать?

0
 



С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146

Ссылка на сообщениеДобавлено: 04/01/08 в 15:00       Ответить с цитатойцитата 



Майк, формы были открыты... x2.cgi хтаккесом не заблочен, думал что пофиксили все-таки... смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно... сейчас x2.cgi закрыты хтаккесом, формы, соответственно, тоже... атаки продолжают идти судя по логам, но взлома нет...

Последний раз редактировалось: Doctor (04/01/08 в 21:14), всего редактировалось 1 раз

0
 



С нами с 19.07.04
Сообщения: 738
Рейтинг: 370

Ссылка на сообщениеДобавлено: 04/01/08 в 15:31       Ответить с цитатойцитата 

Doctor писал:
смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно...


Да.. я это имел ввиду.

Вобщем уже очевидно что нужно закрывать доступ к файлам со всех айпи кроме своего и как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.

0
 



С нами с 16.12.05
Сообщения: 1260
Рейтинг: 358

Ссылка на сообщениеДобавлено: 04/01/08 в 16:12       Ответить с цитатойцитата 

Ziegfrid писал:
У меня осталось три копии ат3 и одна атх.

Если atx больше не нужен, то могу купить.
За вменяемую цену.

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 04/01/08 в 16:32       Ответить с цитатойцитата 

FatMike писал:
как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.

Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.

.

0
 

Хостинг, CDN

С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405

Ссылка на сообщениеДобавлено: 04/01/08 в 18:23       Ответить с цитатойцитата 

16 билд точно исправил возможность добавлять в трейд хитрые строки, с помощью которых можно было узнать пароль в админку.. Автор скрипта даже переборщил чуток, убрав "-" из возможных символов имени добавляемого домена.. Так что старым способом невозможно добавить никакого backup файла..
А если админку закрыть htaccess, то все будет работать нормально.. Не надо из мухи слона делать..

0
 



С нами с 01.11.06
Сообщения: 316
Рейтинг: 293

Ссылка на сообщениеДобавлено: 04/01/08 в 19:24       Ответить с цитатойцитата 

Gourad писал:
Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.

Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж. А если диру спалит где-то публично, то кодер ломающего скрипта просто добавит её в список дир для перебора.

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 04/01/08 в 19:57       Ответить с цитатойцитата 

zteam писал:
Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж.

Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.

.

0
 



С нами с 19.07.04
Сообщения: 738
Рейтинг: 370

Ссылка на сообщениеДобавлено: 04/01/08 в 23:03       Ответить с цитатойцитата 

Gourad писал:
Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.


Да нет..конечно я имеел ввиду что при таком подходе форма будет не только закрыта но и никакого линка на неё не будет..т.е будет пага с рулесами и асей..всё..кто хочет стучиться и добавляеться вручную...ну и на аут уход через ротатор.. тут на самом деле с топом больше сложностей будет..плюс.. есть наверняка какието ещё способы узнать в какой директории трейд скрипт стоит..я в таких вещах не силен но наверно можно будет пропалить куда аут ротатора редиректит..но я это чисто как дополнительный способ защиты от хака привел..не как панацею.. ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..

0
 



С нами с 01.11.06
Сообщения: 316
Рейтинг: 293

Ссылка на сообщениеДобавлено: 04/01/08 в 23:05       Ответить с цитатойцитата 

Ну это ж ещё ходить по сиджам надо и смотреть глазами эту директорию, если конечно скрипт не написать, собирающий эту инфу. Но зачем напрягаться, если есть куча сиджей, где скрипты стоят в стандартных дирах аля /cgi-bin/at3.

0
 



С нами с 01.11.06
Сообщения: 316
Рейтинг: 293

Ссылка на сообщениеДобавлено: 04/01/08 в 23:10       Ответить с цитатойцитата 

FatMike писал:
ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..

Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось icon_smile.gif

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 05/01/08 в 00:06       Ответить с цитатойцитата 

zteam писал:
Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось icon_smile.gif

имхо надо прикрывать доступ ко всем файлам до которых не нужен доступ с веба.

.

0
 



С нами с 02.02.07
Сообщения: 294
Рейтинг: 395

Ссылка на сообщениеДобавлено: 05/01/08 в 09:37       Ответить с цитатойцитата 

мне не много не помогло все что тут было описанно..после удаления и т.п. файлы через час востанавливались, видело хакерок начал ручками смотреть тех кто мог поправить. Помогло только то что снял права 777 ( с всех файлов что могли как-то помочь взломать меня еще раз).

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 05/01/08 в 11:36       Ответить с цитатойцитата 

Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?

в .htaccess доступ к x2.cgi закрыт, везде билд 16. Ломают один и тотже сидж magic-cocks.com, рядом еще несколько лежит. На всех стоит 777.

Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 05/01/08 в 11:44       Ответить с цитатойцитата 

sir.korvin писал:
Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

закрывать доступ ко всем файлам до которых не нужен доступ с веба.

.

0
 



С нами с 30.07.03
Сообщения: 264
Рейтинг: 290

Ссылка на сообщениеДобавлено: 05/01/08 в 14:11       Ответить с цитатойцитата 

Народ. Можно показать хтассесс, который решит проблему?

Беки не пахнут. Avatar Porn | Na'vi porn

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 05/01/08 в 14:14       Ответить с цитатойцитата 


Я увы не могу у меня нет АТ у меня всё переведено на протон и закрыто конфигом нгинх. Но ты можешь глянуть к каким файлам идет доступ через веб и исключить их из списка запрещенных.

.

0
 



С нами с 27.11.05
Сообщения: 945
Рейтинг: 930

Ссылка на сообщениеДобавлено: 05/01/08 в 16:01       Ответить с цитатойцитата 

sir.korvin писал:
Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?

Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.


Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 05/01/08 в 17:04       Ответить с цитатойцитата 

shahfil писал:
Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.


У меня небыло его вообще. У меня прошлого раза небыло, как только пошла волна хаков я сразу закрыл x2.

shahfil писал:

Народ. Можно показать хтассесс, который решит проблему?


в .htaccess

<FilesMatch "(.cgi|.php)">
Order Allow,Deny
Allow from 10.10.10.10
</FilesMatch>

<FilesMatch "(out.cgi|out.php|index.php|signup.cgi|in.cgi|in.php)">
Order Allow,Deny
Allow from all
</FilesMatch>

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 05/01/08 в 20:48       Ответить с цитатойцитата 

sir.korvin писал:
в .htaccess

имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка.

.

0
 



С нами с 02.09.07
Сообщения: 96
Рейтинг: 115

Ссылка на сообщениеДобавлено: 05/01/08 в 21:29       Ответить с цитатойцитата 

Gourad писал:
имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка.


a) Доступ к папкам с данными АТ3 закрыт самим АТ3. С ним идут свои htaccess файлы который лежат в нужных папках.

b) В строчке "Allow from 10.10.10.10" открывается все для твоего адреса

0
 
+ + +


С нами с 08.12.03
Сообщения: 675
Рейтинг: 79

Ссылка на сообщениеДобавлено: 14/02/08 в 00:38       Ответить с цитатойцитата 

sir.korvin вычистил сервер ? У меня админ нашел файл ns.php в папке с топлистами АТЛ. НА многих сиджах непонятные провалы траффа и в добавок сегодня увидел, что хистори В АТЛ считается с провалами - какие-то дни выпадают, причем на разных сиджах по-разному, хотя закономерности есть. Вот уж этого вообще не пойму.

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »