С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
 Добавлено: 12/09/11 в 13:31 |
Уважаемые АВМы, рекомендую проверить на серверах наличие файла inc_js.php - пхп шелл, который мог появится на сервере вследствие обновления трейдпульса.
искать можно так:
locate inc_js.php
или
cd /PATH/TO/WEB/CONTENT
find ./ -name inc_js.php
если есть - то желательно отписать в личку, нам нужно собрать инфо по взлому.
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 12/09/11 в 14:23 |
У меня не нашло.
А в каком смысле "вследствие обновления"?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 12/09/11 в 14:39 |
Нужно удалить файлы, заменить filter.php, updater.php из свежего инсталла.
желательно предоставить нам аксес логи фронтенда.
если на сервере небыло защиты ssh/ftp/админок - проверить версию ssh
|
|
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 12/09/11 в 14:48 |
25го августа нас 'обновили'. Кто успел обновится в это время, получил filter.php с подгрузкой какой-то рекламы, + пропатченный апдейтер, который не обновлял filter.php.
Чтобы исправить ситуацию, пострадавшим надо скачать updater.zip, и залить его содержимое в папку /tp/
Завтра я планирую выложить 30й апдейт, в котором:
1. Все файлы для апдейтов будут браться из амазоновского хранилища S3, доступ к которому есть только у меня. То есть подсунуть фейковые файлы для апдейта злоумышленникам будет невозможно.
2. Автоматически убьется файл tp/inc_js.php, если он есть. Есть он далеко не у всех, логика его выборочного появления мне не ясна.
Найти пидора который влез на наш сервер пока не получается, следы ведут на сервер cgi.bz (хостится на русском хостинге), и к партнерке с акком http://www.clayaim.com/index.php?ref=webex
Абузы отписал, но что толку от них...
|
|
|
|
| |
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
| Добавлено: 12/09/11 в 14:55 |
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 14/09/11 в 21:18 |
Kildoozer:
Была бы крайне полезна утилита для проверки хешей файлов.
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 22/11/11 в 15:28 |
Если бы только inc_js... Реально рекомендую поставить чистую инсталляцию в отдельную папочку, а потом сравнить рабочую диру tp с чистой:
$ diff -qr /path/to/clean/tp /path/to/working/tp | grep php
Там целый зоопарк, нахрен. А я, дурак, это говно покупать собирался.
|
|
|
|
| |
С нами с 02.10.08
Сообщения: 36
Рейтинг: 5
|
| Добавлено: 22/11/11 в 16:03 |
год на пульсе сидел. попрощался после очередного апдейта, когда вставка инклюда, что через хтассес, что напрямую в страницу на двух разных серверах начала давать серьезные тормоза при отрытии сиджа с любого адреса(страны).
протон, кстати этим не начал страдать, не смотря на апдейт, но если бы килдозер вместо плакаться о том, что протон его личный продукт и ему его интересней продавать, чем пульс, хоть немного довел его до современных реалий - лучший трейд-скрипт был бы.
|
|
|
|
| |
С нами с 19.04.05
Сообщения: 1577
Рейтинг: 957
|
| Добавлено: 22/11/11 в 20:54 |
Kildoozer это не коснулось Progress или Proton ?
|
|
|
|
Link Trade - блоги в Art,Comics,Hentai,3D и тп - 338198557
|
0
|
|
| |
С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522
|
| Добавлено: 22/11/11 в 20:57 |
вроде нет 
|
|
|
|
Адалт умер, а мы всего лишь черви, доедающие его труп.
Angry Bull, 2018.
|
1
|
|
| |
С нами с 13.09.04
Сообщения: 479
Рейтинг: 799
|
| Добавлено: 22/11/11 в 21:41 |
Ara Man: это ты так думаешь 
а я уже сношу все
|
|
|
|
| |
С нами с 13.08.07
Сообщения: 1089
Рейтинг: 1522
|
| Добавлено: 22/11/11 в 21:49 |
100% нет
|
|
|
|
Адалт умер, а мы всего лишь черви, доедающие его труп.
Angry Bull, 2018.
|
0
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 22/11/11 в 21:59 |
Протон и прогресс расположены каждый на своем сервере, и взломаны НЕ БЫЛИ.
Взломали (в августе) сервер моего партнера по Трейд-пульсу. Сразу же после этого я перенес все файлы пульса на амазоновское хранилище S3, то есть в данный момент угрозы повторного взлома быть не может никак.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 22/11/11 в 22:07 |
Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.
как временное решение (для неаврального перехода на другие скрипты ) - отключение функций
disable_functions = "popen,exec,system,passthru,proc_open,shell_exec" ...
но часть функционала скриптов может нарушится, а включение open_basedir в данном случае никак не поможет.
Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!)
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 22/11/11 в 23:16 |
| Soft-Com писал: |
Для быстрого обнаружения подмены - мониторить аксеслоги на предмет айпишника из сети 109.201. (или просто заблокировать доступ), и менять на кристалл трейдер (привет разрабам!) |
А можно поподробнее как это сделать?
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 23/11/11 в 00:11 |
Кстати да, 109.201.
|
|
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 23/11/11 в 10:25 |
| Soft-Com писал: | Весьма вероятно что у вас остались пхп-шеллы с прошлого взлома, кроме того мы считаем что опять взломана структура апдейтов proton/progress/TP/SP/ещечегототам.
|
У нас НИЧЕГО не осталось из бяки. Все обращения со стороны админок за новыми файлами идут исключительно на амазон, там все чисто и подмены файлов быть не может технически. Повторюсь, это относится только к пульсу, протон и прогресс никак не пострадали так как находятся на наших собственных серверах.
Если что-то и осталось, то на серверах пользователей, и я сам, лично, вычищаю серверы клиентов по мере обращения ко мне с такими просьбами.
Если разом вычистить все шеллы с сервера и обновить копии пульса до последней версии - ничего больше не появится. Никакого 'взлома структуры апдейтов' нету уже 2 месяца как.
|
|
|
|
| |
IDDQD
С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710
|
| Добавлено: 23/11/11 в 10:33 |
еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного.
|
|
|
|
| |
С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147
|
| Добавлено: 23/11/11 в 11:33 |
проверяйтесь ребята, нам два дня делали подмены файлов, меняли in.php стрима, инклудили свое говно в темплейты линкорганайзера и т.д.
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 23/11/11 в 12:43 |
Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика?
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 23/11/11 в 12:53 |
Kildoozer:
Я хотел бы напомнить, что два года назад я нашел XSS в форме заявки на трейд, о чем сообщил по аське. Это было закрыто через полгода, хотя проблема лечилась добавлением одной функции в обработку параметра. Теперь взломали сервер обновлений (!). Все это говорит об абсолютно наплевательском отношении к безопасности, причем появление XSS в скрипте, в котором только одна форма, это 3.14здец полнейший.
Нет никаких гарантий, что "ничего больше не появится". Я, конечно, восхищен, что скрипт "уже 2 месяца как" не ломали, но на фоне такого урона репутации еще и в два раза повышать процент отобранных кликов - это просто супер.
DrumNBreaks:
Кстати спасибо, в стрим тоже положили %)
CraZ:
Поставь на новый домен чистый пульс, а затем сравни директории чистого и проверяемого на предмет файлов php,phtml итд, которых нет в чистой установке.
|
|
|
|
| |
С нами с 09.11.04
Сообщения: 319
Рейтинг: 499
|
| Добавлено: 23/11/11 в 12:53 |
| CraZ писал: | | еще раз, что саппорту дедика отписать, чтобы глянул есть ли эти пхп-шеллы старые ? у меня пульс, вроде небыло ничего подозрительного. |
Есть несколько файлов, которые чаще всего используются для шеллов. Причем рсполагаются они вне папки tp:
.php (без имени)
crond.php - обычно лежит в папках внутри 'st'
ssi.php - аналогично.
Но, как сами понимаете, могут использоваться и другие имена файлов. Особенности:
1. имя *.php - это понятно
2. содержит либо eval(base64_decode( во второй строке,
3. либо зазенденый файл, ищите подстроку halt_compiler(),
4. либо закрытый ионом, ищите к примеру _il_exec
В пульсе есть сканер файлов, который проверяет ВСЕ *.php файлы внутри tp на принадлежность к скрипту и на соответствие чексуммы файлов последней версии.
|
|
|
|
| |
С нами с 16.03.07
Сообщения: 2697
Рейтинг: 3147
|
| Добавлено: 23/11/11 в 13:05 |
| Barkley писал: | Млин, дык что конкретно проверять? Тут уже и in.php стрима появился...
Какая симптоматика? |
вот как было у меня: если вы недавно делали апдейт стрима и обнаружили что он снова просит апдейта и апдейтится только один файл in.php значит это попадос.
причем со своего нидерланд айпи на сайте не было ничего подозрительного. подсказал один из трейдеров, он обнаружил редирект для американского айпи, за что ему было сказано спасибо
ну это один из случаев. какие еще скрипты могут поломать хз
|
|
|
|
| |
С нами с 16.10.09
Сообщения: 343
Рейтинг: 419
|
| Добавлено: 23/11/11 в 15:35 |
Мне клали еще phtml.
|
|
|
|
| |
IDDQD
С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710
|
| Добавлено: 24/11/11 в 07:13 |
будем смотреть, пока не понятно почему не горит надпись что можно обновиться, стоит Version 1.0.6 build 35 а уже новых смотрю куча
видимо по этому? над ставить на сервак это ?)
This build can't be installed because you haven't latest IonCube Loader installed on the server
|
|
|
|
| |
