Около недели назад два пинча скидывали под разными предлогами. Один раз постучался человек в аську, говорит баннеры на сайте у меня разместить хочет, сайт говорит еще не готов, а баннеры сейчас вышлет в архиве. Формат у архива был exe, я сказал что позже посмотрю а сам отправил файлик на мыло касперским, утром ответ - пинч, добавили в базу.
В чем особенность, этот же пинч но другой модификации мне присылали за два дня до этого, тоже под предлогом совершенно другой программы, и человек которого я знал всего час. Насторожил размер файла - слишком мал для программы, тоже отписал тогда касперским, они его добавили в базы...
В обоих случаях хакер прикидывался полным ламером.
актуально, на 1, 3, 4 сайтах есть места.
Могу продать блок с этих сайтов вместе, на 10 ссылок, цена 40$/мес.
Смотрел список изменений, по безопасности изменений нет никаких, зачем обновлять?
Все у хостера, но он что-то не спешит мне их предоставлять...
Нашел возможную дыру, в папке cache, в основной директории лежит скрипт attach_config.php, дата изменения у него совпадает с датой когда залили шелл. В этот день никто ничего там менять не мог. Права у него стоят 777, доступ в эту папку ограничен строчкой в файле .htaccess:
<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>
Может он и есть эта дыра?
Его содержание:
<?php $attach_config = array('upload_dir'=>'files','upload_img'=>'images/icon_clip.gif','topic_icon'=>'images/icon_clip.gif','display_order'=>'0','max_filesize'=>'5242880','attachment_quota'=>'209715200','max_filesize_pm'=>'5242880','max_attachments'=>'5','max_attachments_pm'=>'1','disable_mod'=>'0','allow_pm_attach'=>'1','attachment_topic_review'=>'0','allow_ftp_upload'=>'0','show_apcp'=>'0','attach_version'=>'2.4.1','default_upload_quota'=>'0','default_pm_quota'=>'0','ftp_server'=>'','ftp_path'=>'','download_path'=>'','ftp_user'=>'','ftp_pass'=>'','ftp_pasv_mode'=>'1','img_display_inlined'=>'1','img_max_width'=>'0','img_max_height'=>'0','img_link_width'=>'0','img_link_height'=>'0','img_create_thumbnail'=>'0','img_min_thumb_filesize'=>'12000','img_imagick'=>'','use_gd2'=>'0','wma_autoplay'=>'0','flash_autoplay'=>'0','board_lang'=>'english'); ?>
lexalink, нет смысла, от форума не такой большой доход. :)
Знаю... Но, как быть с БД, ну и дыру в принципе везде можно найти... По этой версии форума я не нашел дыр кроме одной, которая закрыта.
Хостер в процессе... но хотелось бы быть уверенным что после смены снова не зальют тот же шелл...
Слил файлы, кторые залили, себе на комп, каспер нашел там такую штуку:
Fluder.Linux.Slice.c
HackTool.Linux.Small.b
Fluder.Linux.Bloop.a
Fluder.Linux.Nestea.a
DoS.Linux.Slice.b
DoS.Linux.Overdrop.a
Fluder.Linux.Rycoll.a
DoS.Linux.Small.b
на сайте №2 сылки кончились.
На остальных еще много места, можно также купить сразу блок ссылок.
Сегодня вернули деньги, которые три раза теряли :) Только как я понял они вычли из них чуть более месяца хостинга. Хостер этот viahost. Как я понял, они не терпят критики. Как только их начинаешь критиковать, они начинают придиратся к сайту и искать там нарушения. У меня нарушений небыло, но так как они не совсем понимают что запрещено их правилами то аккаунт мой они заблокировали. Ну а про то как они оплату теряют я даже не говорю...
lawyer, если файлы вируса, или какие-то его остатки остались, то отправьте в лабораторию Касперского, через несколько дней внесут в базы и будет лечить.
Streamer, назову, но не сейчас, хочу еще посмотреть как они деньги возвращают, для полноценного отзыва.
Jackyk, Опечатки у всех бывают, независимо от доходов. :)
