Doomer
Гость
|
Создано:
31.03.2008 18:43:34
|
за последнюю неделю пришло 4 письма
в заголовке написано что-то типа
вам пришло приватное сообщение с сайта numizmat.net
в теле какие-то ссылки
куда ведут не проверял, но явно куда-то в нехорошее место
|
|
|
German
Администратор
Всего сообщений: 9674
Дата регистрации: 17.01.2006
|
Создано:
31.03.2008 19:23:12
|
я тоже получил - пробили проклятые ироды. о кого посмотри плиз
____________________________________________
мой обменный фонд можно посмотреть здесь
|
|
|
Doomer
Гость
|
Создано:
03.04.2008 14:54:20
|
Цитата |
---|
German пишет:
я тоже получил - пробили проклятые ироды. о кого посмотри плиз |
я их грохнул сразу
мыло в описании было каждый раз разное, а в заголовок я не смотрел
больше пока не приходит
|
|
|
Doomer
Гость
|
Создано:
08.04.2008 14:49:57
|
|
сегодня снова пришло, вот хедер, свой адрес я поправил
From www-data@ns1.its.md Tue Apr 08 05:48:06 2008
Return-path: <www-data@ns1.its.md>
Received: from [213.239.210.41] (port=49724 helo=ns1.its.md) by mx16.mail.ru with esmtp id скрыто for скрыто@bk.ru; Tue, 08 Apr 2008 05:48:06 +0400
Received-SPF: none (mx16.mail.ru: 213.239.210.41 is neither permitted nor denied by domain of ns1.its.md) client-ip=213.239.210.41; envelope-from=www-data@ns1.its.md; helo=ns1.its.md;
Received: from www-data by ns1.its.md with local (Exim 4.67) (envelope-from <www-data@ns1.its.md>) id скрыто for скрыто@bk.ru; Tue, 08 Apr 2008 03:48:05 +0200
To: скрыто@bk.ru
Subject: www.numizmat.net: [private] ELYtnCHdOXpacDwgFGZ
From: sandraswallow@microsoft.com
Reply-To: sandraswallow@microsoft.com
X-Priority: 3 (Normal)
X-MID: 73395.188 (08.04.2008 03:48:05)
X-EVENT_NAME: NEW_FORUM_PRIV
Content-Type: text/plain; charset=windows-1251
Content-Transfer-Encoding: 8bit
Message-Id: <E1Jj2wP-0004SR-Br@ns1.its.md>
Date: Tue, 08 Apr 2008 03:48:05 +0200
X-Spam: Not detected
X-Mras: OK
|
|
|
Doomer
Гость
|
Создано:
08.04.2008 14:59:10
|
|
Инфа о сервере
Введённые данные: 213.239.210.41
Whois — результат:
Google PageRank for http://www.213.239.210.41 : 0
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '213.239.208.0 - 213.239.223.225'
inetnum: 213.239.208.0 - 213.239.223.225
netname: HETZNER-RZ-NBG-NET
descr: Hetzner Online AG
descr: Datacenter Nuernberg
country: DE
admin-c: MH375-RIPE
tech-c: MH375-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
mnt-lower: HOS-GUN
mnt-routes: HOS-GUN
source: RIPE # Filtered
person: Martin Hetzner
address: Hetzner Online AG
address: Stuttgarter StraЯe 1
address: D-91710 Gunzenhausen
address: Germany
phone: +49 9831 610061
fax-no: +49 9831 610062
abuse-mailbox:
remarks: *************************************************
remarks: * For spam/abuse/security issues please contact *
remarks: * , not this address *
remarks: *************************************************
nic-hdl: MH375-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
% Information related to '213.239.192.0/18AS24940'
route: 213.239.192.0/18
descr: HETZNER-RZ-NBG-BLK2
origin: AS24940
mnt-by: HOS-GUN
source: RIPE # Filtered
|
|
|
WhiteKorean
Penny
Всего сообщений: 142
Дата регистрации: 05.09.2006
|
Создано:
12.04.2008 11:47:53
|
ко мне тоже пришло подобное... стер даже не скачивая с сервера.
объясните чайнику - что это было и че мне там грозило?
|
|
|
viddsid
Sixpence
Всего сообщений: 704
Дата регистрации: 11.04.2006
|
Создано:
13.04.2008 09:33:51
|
тоже было
Цитата |
---|
WhiteKorean пишет:
объясните чайнику - что это было и че мне там грозило? |
рекламные сообщения. Подмена стартовой страницы, шпионская программа, вирусная программа, системник прям на глазах растворяется в дыму
Бяка, короче
Все в наших руках...
|
|
|
Doomer
Гость
|
Создано:
13.04.2008 17:30:02
|
|
наличие таких сообщений говорит что каким-то образом SQL таблица (либо ее листинг) с пользователями попала к спамерам.
Навскидку я нигде не нашел чтобы e-mail-ы были в открытую напечатаны, поэтому ИМХО варианта 3:
1. Сайт хакнули (тихонько), например через SQL injection или сперли админские cookies (отправили заряженное письмо одному из админов и он кликнул по ссылке) и утащили все e-mail-ы
2. Провайдер либо человек имеющий доступ к админке слил e-mail-ы спамерам
3. Добрый админ сайта по доброте душевной хранит где-то листинг таблицы (бэкап) с юзерами на сервере, но по той же душевной простоте забыл поставить на него атрибуты запрещающие доступ снаружи и нехороший crawler просек где лежит этот гипотетический листик и скопировал его к себе
При любых раскладах сайт поимели
Очень хочется верить что это был не первый вариант, но на всякий случай админам неплохо бы сменить пароли и программеру посмотреть скрипты, особенно вот эти send_message.php, list_user.php
ИМХО
|
|
|
Юрий В.
Halfcrown
Всего сообщений: 1481
Дата регистрации: 09.03.2006
|
Создано:
13.04.2008 18:01:29
|
Может я не достоин, но я в личку никакого спама не получал
Впрочем не исключаю версию с SQL, я его не светил
_____________________
Если я не прав, то пусть старшие товарищи меня поправят
|
|
|
Ganesha
Администратор
Всего сообщений: 6982
Дата регистрации: 11.03.2006
|
Создано:
14.04.2008 22:53:17
|
Мне уже не в первый раз приходит. Таблицы в движке сайта нет, она в базе sql, так что притензии к хостеру.
____________________________
Черная Армия - Белый Раджа,
снова мешают нам славить Джа!
Знает Калькутта и знает Бомбей
Первая Слонная всех сильней!
|
|
|
Doomer
Гость
|
Создано:
15.04.2008 00:13:55
|
Цитата |
---|
Ganesha пишет:
Мне уже не в первый раз приходит. Таблицы в движке сайта нет, она в базе sql, так что притензии к хостеру. |
по-моему вы заблуждаетесь немного
ведь движок сайта работает с базой
и если кто-то, гипотетически, нашел лазейку в скрипте, то он может получить листинг таблицы SQL из базы
что-нибудь в этом духе
http ://numizmat.net/forum/view_profile.php?UID=-1+UNION+SELECT+*+FROM+TABLE_USERS
это конечно не сработает, но что-то подобное может, если скрипт имеет лазейки
|
|
|
Ganesha
Администратор
Всего сообщений: 6982
Дата регистрации: 11.03.2006
|
Создано:
15.04.2008 00:33:32
|
Цитата |
---|
Doomer пишет:
что-нибудь в этом духе http ://numizmat.net/forum/view_profile.php?UID=-1+UNION+SELECT+*+FROM+TABLE_USERS это конечно не сработает, но что-то подобное может, если скрипт имеет лазейки |
не сработает, тк запрос к Sql базе на этом движке невозможно сгенерить из вне, тут достаточно сложная система аутентификации
и взаимосвязи различных модулей. Единственный способ рассылки это зарегить бота а затем, через скрипт отправки сообщений на мыло рассылать спам зарегиным юзерам, либо физически залезть на винт хостера (напр через другой размещённый у него сайт и слить базу)
____________________________
Черная Армия - Белый Раджа,
снова мешают нам славить Джа!
Знает Калькутта и знает Бомбей
Первая Слонная всех сильней!
|
|
|
Doomer
Гость
|
Создано:
15.04.2008 04:37:03
|
Цитата |
---|
Ganesha пишет:
не сработает, тк запрос к Sql базе на этом движке невозможно сгенерить из вне, тут достаточно сложная система аутентификации
и взаимосвязи различных модулей. |
1. Покажите мне того админа который скажет что его скрипты дырявые :)
2. Запрос может и нельзя (что довольно странно, немогу представить SQL user-а которому нельзя делать Select), но тогда должны быть Stored procs или Triggers, к которым тоже можно попробовать че-нить приаттачить, либо перенеправить
2. Способ с похищением cookies админа тоже может сработать, но это намного более геморройный метод чем SQL Injection
|
|
|
Ganesha
Администратор
Всего сообщений: 6982
Дата регистрации: 11.03.2006
|
Создано:
16.04.2008 00:05:07
|
Да тут скрипты не админов, сдесь другой движок и пхп это только оболочка. Да никто ничего не похищал, просто чел зарегился и разослал юзерам через предусмотренную E-mail рассылку. Просто админу надо чаще тереть левых юзеров с невнятной регистрацией.
____________________________
Черная Армия - Белый Раджа,
снова мешают нам славить Джа!
Знает Калькутта и знает Бомбей
Первая Слонная всех сильней!
|
|
|
Valentin
Гость
|
Создано:
13.05.2008 11:16:29
|
Информационное сообщение сайта www.numizmat.net
------------------------------------------
Вы получили персональное сообщение с форума на сайте www.numizmat.net.
Тема:
testyourself
Автор: testyourself rossi91118@gmail.com Дата : 13.05.2008 11:13:01
Сообщение:
testyourself testyourself testyourself [url= http://test.com ] testyourself [/url]
Сообщение сгенерировано автоматически.
Это что за шняга?
|
|
|
Ganesha
Администратор
Всего сообщений: 6982
Дата регистрации: 11.03.2006
|
Создано:
13.05.2008 13:14:22
|
\Цитата |
---|
Valentin пишет:
Информационное сообщение сайта www.numizmat.net ------------------------------------------
Вы получили персональное сообщение с форума на сайте www.numizmat.net.
Тема: testyourself
Автор: testyourself rossi91118@gmail.com Дата : 13.05.2008 11:13:01 Сообщение: |
Мне то же это пришло.
____________________________
Черная Армия - Белый Раджа,
снова мешают нам славить Джа!
Знает Калькутта и знает Бомбей
Первая Слонная всех сильней!
|
|
|
Ganesha
Администратор
Всего сообщений: 6982
Дата регистрации: 11.03.2006
|
Создано:
18.05.2008 12:06:52
|
сегодня опять testyourself но уже от portiltuapten@gmail.com
____________________________
Черная Армия - Белый Раджа,
снова мешают нам славить Джа!
Знает Калькутта и знает Бомбей
Первая Слонная всех сильней!
|
|
|
Григорий Виницкий
Twopence
Всего сообщений: 215
Дата регистрации: 17.09.2007
|
Создано:
28.05.2008 15:53:55
|
И я получал. В апреле пришло...Потёр сразу.
Пользователя не запомнил, но тоже с гмэйла...
|
|
|
Sepp
Модератор
Всего сообщений: 1371
Дата регистрации: 11.04.2006
|
Создано:
28.05.2008 19:49:49
|
Я не получал.
|
|
|