Похоже, что 16-й билд ат3 такой же дырявый... :(

saaas писал:

А никто не заметил что у всех кого поламали стоит стрим ротатор? Так что может не туда капаем а?

были взломы де стоял смарт + at3 так что скорее всего at3 дырявый на все 100
плохо что арова не хрена не делает

geCTP писал:

а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева?

И после этого удалить волшебным образом из логов обращения к стриму и оставить только к ат?

doomed писал:

Сдесь где-то есть упоминание тебя? А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали).

здание, здоровье, здесь...

чего ты не видишь-то?... русским по белому написал, в логах обращение к x2.cgi, после чего появляется бекап.пхп и вставляется ифрейм... айпи атаки как и в прошлые разы - виртуал из Эстонии...

а топик этот появился, не потому что "опять сломали", а потому, что везде был 16 билд, который как бы пофиксили уже...

пысы: стрим не юзаю...

Док.. сайнап формы на момент взлома открыты были? или форму уже не задействуют и идут напрямую к x2.cgi ? После того как пропатчился до 16 билда проверял сервер на возможные "хвосты"?
Супорту ат3 будеш писать?

Майк, формы были открыты... x2.cgi хтаккесом не заблочен, думал что пофиксили все-таки... смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно... сейчас x2.cgi закрыты хтаккесом, формы, соответственно, тоже... атаки продолжают идти судя по логам, но взлома нет...

Последний раз редактировалось: Doctor (04/01/08 в 21:14), всего редактировалось 1 раз

Doctor писал:

смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно...

Да.. я это имел ввиду.

Вобщем уже очевидно что нужно закрывать доступ к файлам со всех айпи кроме своего и как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.

Ziegfrid писал:

У меня осталось три копии ат3 и одна атх.

Если atx больше не нужен, то могу купить.
За вменяемую цену.

FatMike писал:

как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.

Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.

16 билд точно исправил возможность добавлять в трейд хитрые строки, с помощью которых можно было узнать пароль в админку.. Автор скрипта даже переборщил чуток, убрав "-" из возможных символов имени добавляемого домена.. Так что старым способом невозможно добавить никакого backup файла..
А если админку закрыть htaccess, то все будет работать нормально.. Не надо из мухи слона делать..

Gourad писал:

Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.

Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж. А если диру спалит где-то публично, то кодер ломающего скрипта просто добавит её в список дир для перебора.

zteam писал:

Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж.

Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.

Gourad писал:

Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.

Да нет..конечно я имеел ввиду что при таком подходе форма будет не только закрыта но и никакого линка на неё не будет..т.е будет пага с рулесами и асей..всё..кто хочет стучиться и добавляеться вручную...ну и на аут уход через ротатор.. тут на самом деле с топом больше сложностей будет..плюс.. есть наверняка какието ещё способы узнать в какой директории трейд скрипт стоит..я в таких вещах не силен но наверно можно будет пропалить куда аут ротатора редиректит..но я это чисто как дополнительный способ защиты от хака привел..не как панацею.. ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..

Ну это ж ещё ходить по сиджам надо и смотреть глазами эту директорию, если конечно скрипт не написать, собирающий эту инфу. Но зачем напрягаться, если есть куча сиджей, где скрипты стоят в стандартных дирах аля /cgi-bin/at3.

FatMike писал:

ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..

Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось

zteam писал:

Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось

имхо надо прикрывать доступ ко всем файлам до которых не нужен доступ с веба.

мне не много не помогло все что тут было описанно..после удаления и т.п. файлы через час востанавливались, видело хакерок начал ручками смотреть тех кто мог поправить. Помогло только то что снял права 777 ( с всех файлов что могли как-то помочь взломать меня еще раз).

Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?

в .htaccess доступ к x2.cgi закрыт, везде билд 16. Ломают один и тотже сидж magic-cocks.com, рядом еще несколько лежит. На всех стоит 777.

Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

sir.korvin писал:

Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

закрывать доступ ко всем файлам до которых не нужен доступ с веба.

Народ. Можно показать хтассесс, который решит проблему?

Я увы не могу у меня нет АТ у меня всё переведено на протон и закрыто конфигом нгинх. Но ты можешь глянуть к каким файлам идет доступ через веб и исключить их из списка запрещенных.

sir.korvin писал:

Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело? Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.

Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.

shahfil писал:

Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.

У меня небыло его вообще. У меня прошлого раза небыло, как только пошла волна хаков я сразу закрыл x2.

shahfil писал:

Народ. Можно показать хтассесс, который решит проблему?

в .htaccess

<FilesMatch "(.cgi|.php)">
Order Allow,Deny
Allow from 10.10.10.10
</FilesMatch>

<FilesMatch "(out.cgi|out.php|index.php|signup.cgi|in.cgi|in.php)">
Order Allow,Deny
Allow from all
</FilesMatch>

sir.korvin писал:

в .htaccess

имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка.

Gourad писал:

имхо два недостатка а) доступ к фолдерам с данными АТ3 открыт. б) закрыта админка.

a) Доступ к папкам с данными АТ3 закрыт самим АТ3. С ним идут свои htaccess файлы который лежат в нужных папках.

b) В строчке "Allow from 10.10.10.10" открывается все для твоего адреса

sir.korvin вычистил сервер ? У меня админ нашел файл ns.php в папке с топлистами АТЛ. НА многих сиджах непонятные провалы траффа и в добавок сегодня увидел, что хистори В АТЛ считается с провалами - какие-то дни выпадают, причем на разных сиджах по-разному, хотя закономерности есть. Вот уж этого вообще не пойму.