Master-X
Форум | Новости | Статьи
Главная » Форум » Программинг, Скрипты, Софт, Сервисы » 
Тема: Help! Защита от заливки чужих РНР
цитата
25/05/09 в 15:55
 photomuza
Ребята, подскажите как защититься от заливки спамерских РНР. Не пойму как, но появляются даже в папках 755. Вот его реферский файл spam-ref.php:

Код:
<a href="http://kafanasesir.co.yu/" class="link3" target="_blank" rel="nofollow">kafanasesir</a>
<BR>

<a href="http://www.gare.at/" class="link3" target="_blank" rel="nofollow">gare.at</a>
<BR>

<a href="http://www.ftpdedacom.nl/" class="link3" target="_blank" rel="nofollow">ftpdedacom.nl</a>
<BR>

<a href="http://www.acpbv.nl/" class="link3" target="_blank" rel="nofollow">acpbv.nl</a>
<BR>

<a href="http://www.pyhrn83.at/" class="link3" target="_blank" rel="nofollow">pyhrn83.at</a>
<BR>

<a href="http://www.diaktis.gr/" class="link3" target="_blank" rel="nofollow">diaktis.gr</a>
<BR>

<a href="http://chilleez.com/" class="link3" target="_blank" rel="nofollow">chilleez.com</a>
<BR>

<a href="http://surofa.co.za/" class="link3" target="_blank" rel="nofollow">surofa.co.za</a>
<BR>

<a href="http://www.acehighresort.com/" class="link3" target="_blank" rel="nofollow">acehighresort</a>
<BR>

<a href="http://www.errikostimes.com/" class="link3" target="_blank" rel="nofollow">errikostimes</a>
<BR>

<a href="http://www.sandiegoscale.com/" class="link3" target="_blank" rel="nofollow">sandiegoscale</a>
<BR>

<a href="http://roundlakeresort.com/" class="link3" target="_blank" rel="nofollow">roundlakeresort</a>
<BR>

<a href="http://www.fredysma.ee/" class="link3" target="_blank" rel="nofollow">fredysma</a>
<BR>
<a href="http://iwf.flambe.org/" class="link3" target="_blank" rel="nofollow">flambe.org</a>
<BR>

<a href="http://www.voetbalpanorama.nl/" class="link3" target="_blank" rel="nofollow">voetbalpanorama</a>
<BR>
<a href="http://www.christiancesar.com/" class="link3" target="_blank" rel="nofollow">christiancesar</a>
<BR>
<a href="http://www.brennanandwaite.com/" class="link3" target="_blank" rel="nofollow">brennanandwaite</a>
<BR>
<a href="http://www.lj-mic.at/" class="link3" target="_blank" rel="nofollow">lj-mic.at</a>
<BR>
<a href="http://www.widefancy.com/" class="link3" target="_blank" rel="nofollow">widefancy</a>
<BR>
<a href="http://www.cortexskateboards.be/" class="link3" target="_blank" rel="nofollow">cortexskateboards</a>
<BR>
<a href="http://www.sns.ee/" class="link3" target="_blank" rel="nofollow">sns.ee</a>
<BR>
<a href="http://www.jdi-consultants.nl/" class="link3" target="_blank" rel="nofollow">consultants</a>
<BR>
<a href="http://sublimecorp.com/" class="link3" target="_blank" rel="nofollow">sublimecorp</a>
<BR>
<a href="http://www.exeterlabels.co.uk/" class="link3" target="_blank" rel="nofollow">exeterlabels</a>
<BR>
<a href="http://operationexplorercom.ccnclabs.net/" class="link3" target="_blank" rel="nofollow">ccnclabs.net</a>
<BR>
<a href="http://www.xpedience.net/stats/" class="link3" target="_blank" rel="nofollow">xpedience</a>
<BR>


И 2 файлов с вирусом hifili2.php и zenis2e.php по куче папок, где есть мои РНР.
цитата
25/05/09 в 16:13
 Alexandur
Начни с проверки на вирусы свой ПК, как проверишься, смени пароль от ФТП.
цитата
25/05/09 в 16:14
 True Alex
комп на трояны давно проверял?
очень вероятно, что через фтп
цитата
25/05/09 в 17:11
 photomuza
gimcnuk, True Alex
То есть есть такая возможность: трояны на ПК и заливают по ФТП имея доступ? ОК, проверю и сменю. Но Каспер стоит постоянно (хотя возможно и пропустил их), файлы обнаружил вчера, их дата 5 мая, format С делал 2 мая (переустановка винды). Менял пароли недели 2 назад по просьбе саппорта, возможно надо проделать чистку каспером заново с мену паролей, может поможет, спасибо.

Хотелось бы знать, может есть еще доп. защита: прописать в .htaccess что-то, либо по-другому, что не будет позволять заливать файлы с указанным расширением в указанные папки.
цитата
25/05/09 в 17:25
 FXIX
Вообще все зависит от того что за скрипты у тебя стоят. Про php-дырки и небезопастное программирование написано в каждой книжке для чайника. Там же написано как эти дырки заюзатьicon_smile.gif. Если пароли не пиздили у тебя говоришь, то юзают твой же скрипт у которого есть права писать в эти папки. Или юзают тот блок в скрипте который позволяет переопределять права на конкретные папки.
цитата
25/05/09 в 17:31
 _s_[sov]
шелл могли залить и делов с гулькин хуй... тщательно фильтруй все параметры
цитата
25/05/09 в 17:35
 Woland
Ограничение доступа к серверу (ftp, ssh) по IP ещё никому не мешало кстати тоже.
цитата
25/05/09 в 17:36
 _s_[sov]
а если ip динамика? каждый раз менять в админке не будешь же.. хотя прокси или впн можно заюзать
цитата
25/05/09 в 17:48
 Бомж
photomuza писал:

Хотелось бы знать, может есть еще доп. защита: прописать в .htaccess что-то, либо по-другому, что не будет позволять заливать файлы с указанным расширением в указанные папки.

_s_[sov] писал:
а если ip динамика?

Пропиши в .ftpaccess разрешение только для своей подсети.
цитата
25/05/09 в 17:51
 photomuza
Забыл. icon_smile.gif Я же внес в панель на хостинге ФТП-вход ТОЛЬКО со своего IP по совету того же саппорта. Т.е. если вирус был залит по ФТП, то ДО того как я сменил пароли и ограничил доступ. Думаю ФТП-вход только с моего IP это надежная защита от вашего варианта?

Теперь ответьте на такой вопрос: возможна ли залика файла РНР (или другого) в папку 777?
Естественно без доступа ФТП и без моего скрипта UPLOAD.
цитата
25/05/09 в 17:52
 _s_[sov]
легко
цитата
25/05/09 в 17:52
 Woland
Цитата:
а если ip динамика? хотя прокси или впн можно заюзать
VPN спасёт отца русской демократии, а также его пароли, кошельки и прочие админки, само-собой. Либо подсеть, как предложили выше мона прописать, на крайняк.
цитата
25/05/09 в 17:54
 photomuza
Бомж писал:
Пропиши в .ftpaccess разрешение только для своей подсети.

Кинь пример кода плз, а то давно с этим не имел дело, подзабыл все.
цитата
25/05/09 в 17:56
 Woland
Цитата:
Кинь пример кода плз, а то давно с этим не имел дело, подзабыл все.

Так ты ж уже внёс свой ИП по совету хостера через панель ...
цитата
25/05/09 в 18:21
 photomuza
Woland
Ну как вариант на заметку в блокнотик запишу на будущее. Файл .ftpaccess? Что туда вписать? Попробовал вариант для .htaccess
Код:
Order Deny,Allow
Deny from 255.255.255.255

Не то: пускает.
цитата
25/05/09 в 18:54
 Woland
photomuza: 255.255.255.255 - это не подсеть, это маска.

Вот пример на eng http://www.proftpd.org/localsite/Userguide/linked/x1021.html

В примере разрешён доступ из двух подсетей
212.32.5.0/26 и 158.152.0.0/16

Если у тебя не динамический IP, а постоянный - пиши просто его, а не подсеть. Но лучше попроси админов, они точно знаю, чё и куда писать.
цитата
25/05/09 в 22:12
 Dr.Syshalt
Коллективное лечение по фотографии какое-то icon_smile.gif

Кто оунер залитых файлов?

Каковы точные пермиссии (самые жесткие) там, куда были залиты файлы?

Где содержимое логов на тот момент, когда файлы были залиты? (судя по их времени изменения)

А то прямо сборище гадалок какое-то.. без обид. А там, может, сервер зарутили уже, у них собственный ssh теперь и будут ходить, куда им вздумается, какие .htaccess ни клади.
цитата
25/05/09 в 23:39
 andreich
Dr.Syshalt писал:
А там, может, сервер зарутили уже, у них собственный ssh теперь и будут ходить, куда им вздумается, какие .htaccess ни клади.

+1 очень сильно похоже именно на это ну и логи никто не отменял


Эта страница в полной версии