worldtraffic.trade
С нами с 20.08.06
Сообщения: 2836
Рейтинг: 2309
|
Добавлено: 04/01/08 в 11:08 |
saaas писал: | А никто не заметил что у всех кого поламали стоит стрим ротатор?
Так что может не туда капаем а? |
были взломы де стоял смарт + at3 так что скорее всего at3 дырявый на все 100
плохо что арова не хрена не делает
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 04/01/08 в 11:17 |
geCTP писал: | а чего стоит, заменить фаил at (через стрим) и потом его запрашивать, что бы было без палева? |
И после этого удалить волшебным образом из логов обращения к стриму и оставить только к ат?
|
|
|
|
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 04/01/08 в 13:56 |
doomed писал: | Сдесь где-то есть упоминание тебя?
А уж почему тебя сломали - это к телепатам, от тебя никакой информации "почему, как и когда" пока не вижу (как и от Doctor впрочем, кроме той, что его опять сломали). |
здание, здоровье, здесь...
чего ты не видишь-то?... русским по белому написал, в логах обращение к x2.cgi, после чего появляется бекап.пхп и вставляется ифрейм... айпи атаки как и в прошлые разы - виртуал из Эстонии...
а топик этот появился, не потому что "опять сломали", а потому, что везде был 16 билд, который как бы пофиксили уже...
пысы: стрим не юзаю...
|
|
|
|
С нами с 19.07.04
Сообщения: 738
Рейтинг: 370
|
Добавлено: 04/01/08 в 14:36 |
Док.. сайнап формы на момент взлома открыты были? или форму уже не задействуют и идут напрямую к x2.cgi ? После того как пропатчился до 16 билда проверял сервер на возможные "хвосты"?
Супорту ат3 будеш писать?
|
|
|
|
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
Добавлено: 04/01/08 в 15:00 |
Майк, формы были открыты... x2.cgi хтаккесом не заблочен, думал что пофиксили все-таки... смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно... сейчас x2.cgi закрыты хтаккесом, формы, соответственно, тоже... атаки продолжают идти судя по логам, но взлома нет...
Последний раз редактировалось: Doctor (04/01/08 в 21:14), всего редактировалось 1 раз
|
|
|
|
С нами с 19.07.04
Сообщения: 738
Рейтинг: 370
|
Добавлено: 04/01/08 в 15:31 |
Doctor писал: | смотря, что иметь ввиду под проверкой... файлов бэкап.пхп не было точно...
|
Да.. я это имел ввиду.
Вобщем уже очевидно что нужно закрывать доступ к файлам со всех айпи кроме своего и как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить.
|
|
|
|
С нами с 16.12.05
Сообщения: 1260
Рейтинг: 358
|
Добавлено: 04/01/08 в 16:12 |
Ziegfrid писал: | У меня осталось три копии ат3 и одна атх. |
Если atx больше не нужен, то могу купить.
За вменяемую цену.
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 04/01/08 в 16:32 |
FatMike писал: | как дополнительный вариант ставить скрипт в нестандартную директорию(а-ля /at3-huj-sosi-ebuchij-haker-7hg0g5g42n/) и нигде этого не палить. |
Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом.
|
|
|
|
Хостинг, CDN
С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405
|
Добавлено: 04/01/08 в 18:23 |
16 билд точно исправил возможность добавлять в трейд хитрые строки, с помощью которых можно было узнать пароль в админку.. Автор скрипта даже переборщил чуток, убрав "-" из возможных символов имени добавляемого домена.. Так что старым способом невозможно добавить никакого backup файла..
А если админку закрыть htaccess, то все будет работать нормально.. Не надо из мухи слона делать..
|
|
|
|
С нами с 01.11.06
Сообщения: 316
Рейтинг: 293
|
Добавлено: 04/01/08 в 19:24 |
Gourad писал: | Не палить не получится доступ до in.cgi и out.cgi будет нужен. А вот на все или почти все внутренние можно прирезать доступ .htaccess'ом. |
Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж. А если диру спалит где-то публично, то кодер ломающего скрипта просто добавит её в список дир для перебора.
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 04/01/08 в 19:57 |
zteam писал: | Имеется ввиду, что ломающий скрипт не спалит директорию, т.к. он обычно делает перебор по стандартным директориям. Не думаю, что "злобный хакер" сидит и руками ломает каждый сидж. |
Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо.
|
|
|
|
С нами с 19.07.04
Сообщения: 738
Рейтинг: 370
|
Добавлено: 04/01/08 в 23:03 |
Gourad писал: | Ну вот смотри если у тебя форма открыта то на морде явно будет висеть линк /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/signup.cgi а по клике на тумбу /cgi-bin/at3-huj-sosi-ebuchij-haker-7hg0g5g42n/out.cgi ну через ротатор понятно дело. Так что ничего выпаливать и не надо. |
Да нет..конечно я имеел ввиду что при таком подходе форма будет не только закрыта но и никакого линка на неё не будет..т.е будет пага с рулесами и асей..всё..кто хочет стучиться и добавляеться вручную...ну и на аут уход через ротатор.. тут на самом деле с топом больше сложностей будет..плюс.. есть наверняка какието ещё способы узнать в какой директории трейд скрипт стоит..я в таких вещах не силен но наверно можно будет пропалить куда аут ротатора редиректит..но я это чисто как дополнительный способ защиты от хака привел..не как панацею.. ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет..
|
|
|
|
С нами с 01.11.06
Сообщения: 316
Рейтинг: 293
|
Добавлено: 04/01/08 в 23:05 |
Ну это ж ещё ходить по сиджам надо и смотреть глазами эту директорию, если конечно скрипт не написать, собирающий эту инфу. Но зачем напрягаться, если есть куча сиджей, где скрипты стоят в стандартных дирах аля /cgi-bin/at3.
|
|
|
|
С нами с 01.11.06
Сообщения: 316
Рейтинг: 293
|
Добавлено: 04/01/08 в 23:10 |
FatMike писал: | ограничение доступа к файлам только со своего айпи тут имхо более действенное решение будет.. |
Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 05/01/08 в 00:06 |
zteam писал: | Ну это логично, я админки ротаторов / трейд-скриптов прикрыл в самом начале, вот сейчас ещё и x2.cgi пришлось |
имхо надо прикрывать доступ ко всем файлам до которых не нужен доступ с веба.
|
|
|
|
С нами с 02.02.07
Сообщения: 294
Рейтинг: 395
|
Добавлено: 05/01/08 в 09:37 |
мне не много не помогло все что тут было описанно..после удаления и т.п. файлы через час востанавливались, видело хакерок начал ручками смотреть тех кто мог поправить. Помогло только то что снял права 777 ( с всех файлов что могли как-то помочь взломать меня еще раз).
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 05/01/08 в 11:36 |
Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?
в .htaccess доступ к x2.cgi закрыт, везде билд 16. Ломают один и тотже сидж magic-cocks.com, рядом еще несколько лежит. На всех стоит 777.
Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте.
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 05/01/08 в 11:44 |
sir.korvin писал: | Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте. |
закрывать доступ ко всем файлам до которых не нужен доступ с веба.
|
|
|
|
С нами с 30.07.03
Сообщения: 264
Рейтинг: 290
|
Добавлено: 05/01/08 в 14:11 |
Народ. Можно показать хтассесс, который решит проблему?
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 05/01/08 в 14:14 |
Я увы не могу у меня нет АТ у меня всё переведено на протон и закрыто конфигом нгинх. Но ты можешь глянуть к каким файлам идет доступ через веб и исключить их из списка запрещенных.
|
|
|
|
С нами с 27.11.05
Сообщения: 945
Рейтинг: 930
|
Добавлено: 05/01/08 в 16:01 |
sir.korvin писал: | Ситуация повторяется, файл "backup.php" опять появляется. Походу не в at3 дело?
Сначала в папке sr был backup.php, сейчас в корне появился. Что делать, посоветуйте. |
Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза.
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 05/01/08 в 17:04 |
shahfil писал: | Ну писали же выше - надо backup.php отовсюду удалить! Из папок с бэкапами стрима например. А у тебя наверняка он где-то остался еще с прошлого раза. |
У меня небыло его вообще. У меня прошлого раза небыло, как только пошла волна хаков я сразу закрыл x2.
shahfil писал: |
Народ. Можно показать хтассесс, который решит проблему?
|
в .htaccess
<FilesMatch "(.cgi|.php)">
Order Allow,Deny
Allow from 10.10.10.10
</FilesMatch>
<FilesMatch "(out.cgi|out.php|index.php|signup.cgi|in.cgi|in.php)">
Order Allow,Deny
Allow from all
</FilesMatch>
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 05/01/08 в 20:48 |
sir.korvin писал: | в .htaccess |
имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка.
|
|
|
|
С нами с 02.09.07
Сообщения: 96
Рейтинг: 115
|
Добавлено: 05/01/08 в 21:29 |
Gourad писал: | имхо два недостатка
а) доступ к фолдерам с данными АТ3 открыт.
б) закрыта админка. |
a) Доступ к папкам с данными АТ3 закрыт самим АТ3. С ним идут свои htaccess файлы который лежат в нужных папках.
b) В строчке "Allow from 10.10.10.10" открывается все для твоего адреса
|
|
|
|
+ + +
С нами с 08.12.03
Сообщения: 675
Рейтинг: 79
|
Добавлено: 14/02/08 в 00:38 |
sir.korvin вычистил сервер ? У меня админ нашел файл ns.php в папке с топлистами АТЛ. НА многих сиджах непонятные провалы траффа и в добавок сегодня увидел, что хистори В АТЛ считается с провалами - какие-то дни выпадают, причем на разных сиджах по-разному, хотя закономерности есть. Вот уж этого вообще не пойму.
|
|
|
|