С нами с 14.12.06
Сообщения: 174
Рейтинг: 93
|
 Добавлено: 19/05/08 в 18:13 |
Ага, вот и в стриме этой командой добыл streamrotator/backups/backups.php
|
|
|
|
| |
С нами с 23.06.07
Сообщения: 27
Рейтинг: 23
|
| Добавлено: 20/05/08 в 00:23 |
| Soft-Com писал: |
| Код: |
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]
|
|
Мне вот всегда было интересно, как повлияют такие .htaccess файлы, положенные в корне домена, на нагрузка на сервак. Если к примеру на серваке 100к трафа.
Кто-нибудь реальные замеры проводил?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 20/05/08 в 09:15 |
любой хтаксес влияет на нагрузку на сервер не из-за правил в нём (минимальная нагрузка) а изза лишнего дёргания винта.
поэтому если тебя смущает нагрузка включи этот кусок в virtualhost секцию домена.
|
|
|
|
| |
С нами с 14.05.08
Сообщения: 67
Рейтинг: 20
|
| Добавлено: 22/05/08 в 15:00 |
Soft-Com:
Можешь сделать пошаговую инструкцию как прикрыть от влома ATL3?
ну типа:
1. положить в корень сайта .htaccess
2. сделать chmod на файлы ...
3. закрыть .htaccess'ом директрии /cgi-bin/xxx и cgi-bin/yyy
и т.д.
заранее спасибо!
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 22/05/08 в 15:49 |
пошаговой инструкции по определению в таких случаях быть не может, т.к. люди к взлому подходят нетривиально.
приблизительно можно описать так:
1. закрыть докрут домена хтаксесом
| Код: | RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .* http://google.com/ [L] |
1.a. Настоятельно рекомендую использовать http-прокси/socks/vpn для доступа к админками собственных доменов (да и к контенту тоже) - не составляет особого труда поставить что-нибуть на _своём_ же сервере (кто не может, или у кого админи не могут - смело обращаемся, контакты в профайле  )
тогда можно сильно сэкономить себе нервы, разрешив доступ к админкам ТОЛЬКО со своего айпишника:
| Код: | <FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from VPN_IP
</FilesMatch> |
2. вычистить логи и ины АТ3/АТХ - уже не раз писал как это делается, приблизительно так:
FreeBSD
| Код: |
/usr/libexec/locate.updatedb
cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g'; done |
Linux
| Код: |
updatedb
cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i 's/<script.*document.write.*unesca.*<\/script>//g'; done
|
3. Попытаться пропарсит шаблоны такой командой на предмет внедрения трояна (ищет и удаляет трояна)
| Код: | grep -rH "document.write(unescape" *.tpl | awk -F":" '{print $1}' > 1; for i in `cat 1`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i;done
|
потом заменить *.tpl на расширения html, и т.д. (для каждого домена жедательно делать свою грепалку чтобы своими же действиями сервер не придавить)
4. попробовать найти внедрённые php-файлы
| Код: | grep -rH "substr($s,$k,2))+0);$sss.=$ss" * | awk -F":" '{print $1}'
grep -rH "202069662028245F504F53545B706173735D213D2" * | awk -F":" '{print $1}' |
еще один совет - лучше держать домены в разных аккаунтах, иначе один взломанный домен плавно превращается во взломанный сервер.
P.S.
Осмелюсь пропиарится - если кому-то нужны качественные услуги опытных администраторов - обращайтесь .
Последний раз редактировалось: Soft-Com (24/05/08 в 14:40), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 30.04.06
Сообщения: 3096
Рейтинг: 2025
|
| Добавлено: 22/05/08 в 17:08 |
Возможно я не прав, но на время всех этих действий лучше полностью все остановить...
Просто index.* переименовать , чтоб ни чего не дергалось.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 22/05/08 в 17:14 |
ну это смотря у кого сколько контента и трафа ... это всё может знаять не один час времени, а сервер даже не час положить - дорогое удовольствие, и не особо нужное.
|
|
|
|
| |
С нами с 14.05.08
Сообщения: 67
Рейтинг: 20
|
| Добавлено: 22/05/08 в 19:02 |
Soft-Com:
Спасибо огромное! Доступно написал! 
Надеюсь эта инфа будет полезна многим.
Судя по всему у много сиджей пострадало.
net666:
имхо, после выполнения пунктов 1 и 2 инструкции уважаемого Soft-Com: , можно снова запускать сервак в работу.
|
|
|
|
| |
С нами с 30.04.06
Сообщения: 3096
Рейтинг: 2025
|
| Добавлено: 22/05/08 в 19:15 |
to Soft-Com:
Конечно дорого, то спорит, просто у себя вычищал, "не выключая" все это говно восстаналивалось, было много левых файлов. все сразу не уберешь. прошел рефрешь морды , говно в темплайте, топ рефрешнулся в темплайте топа. Встаки лечше оключить. Хотя хозяин барин...
ps с тобой спорить по этому поводу просто не могу ввиду некомпитентности, спсибо что активно откликнулся, УДАЧИ.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 22/05/08 в 19:20 |
| Action писал: | Soft-Com:
Спасибо огромное! Доступно написал!
Надеюсь эта инфа будет полезна многим.
Судя по всему у много сиджей пострадало.
|
если имелось в виду у меня, то ни на одном домене моего клиента небыло трояна ни в админке, ни на морде (можно получить подтверждение от товарищей с http://tgpteam.com/ и http://thenichetraffic.com/).
|
|
|
|
| |
С нами с 27.06.07
Сообщения: 289
Рейтинг: 247
|
| Добавлено: 30/05/08 в 22:02 |
Очень задрала эта бяка ( душили-душили...
|
|
|
|
| |
С нами с 14.05.08
Сообщения: 67
Рейтинг: 20
|
| Добавлено: 31/05/08 в 01:15 |
Задушили?
|
|
|
|
| |
