Хацкеры одолели

Закачалась хуйня на сервер.. сцуки пидорасы..Вот чего пишется в одном из файликов

Код:

/*  r57shell.php - скрипт на пхп позволяющий вам выполнять системные команды на сервере через браузер /*  Вы можете скачать новую версию на нашем сайте: http://rst.void.ru /*  Версия: 1.31 /*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/ /*  Отдельная благодарность за помощь и идеи: blf, phoenix, virus, NorD и всем чертям из RST/GHC. /*  Если у Вас есть какие-либо идеи по поводу того какие функции следует добавить в скрипт то пишите /*  на rst@void.ru. Все предложения будут рассмотрены. /*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/ /*  (c)oded by 1dt.w0lf /*  RST/GHC http://rst.void.ru , http://ghc.ru /*  ANY MODIFIED REPUBLISHING IS RESTRICTED

Там любезно указана ссылка на сайт ебаных хакероф. Эти суки запороли мне сидж и поставили майлер... Вообще чего эта хрень r57shell.php ещё может натворить... сапорт молчит мой.. хз чего делать...

Хм, это вообщето авторы скрипта. А закачали тебе его какие-то хацкеры. Дырка где-то в системе или в скриптах. Скорее в скриптах, иначе не парились бы с загрузкой, а зашло через телнет/ссх

т.е. я как понял они с помощью этой хрени r57shell.php могут сделать чё угодно?

Да, т.к. они могут выполнять любые команды, то смогут закинуть локальный сплоит, а после поднять права и рубануть весь сервер.

Ничего не понял. А как они закачали?

ХЗ как эти черти закачали.. вопрос терь в том как обезопасить себя от этой хрени... ну кильну я эти файлики. они заново их создатут... пидорасы нах.

Если они закачали, то значит, есть дыры. Наверняка, какой-нить руткит поставили. Дело даже не в этом, отдельном скриптике - это только следствие.

lega_cobra писал:

Ничего не понял. А как они закачали?

Через дырку в скрипте, например. На самомо дела наличие этого файла говорит что по серьезному комп еще не взломали и полный доспут через бэкдор не получили. Но что-то уже могут сделать.

Естественно дело не в этом скрипте, а в другом - дырявом, т.е. который был установлен изначально будь это скрипт ТГП, CJ, TOP, LL или что там у тебя установлено?

piskin писал:

Через дырку в скрипте, например. На самомо дела наличие этого файла говорит что по серьезному комп еще не взломали и полный доспут через бэкдор не получили. Но что-то уже могут сделать.

хе хе может уже и получили, просто не палятся, ибо зачем: если вторжение замечают, то сразу же ставят все на место и контроль у злоумышленников пропадает, НО если делать все "без шума и пыли", то рулить захваченной машиной можно ооочень долго...
Хотя скорее наличие этого файла говорит о непрофессионализме хакера - слижком уж палевно пользоваться веб-шеллами...

Последний раз редактировалось: Anab0L1k (13/09/06 в 22:41), всего редактировалось 1 раз

Anab0L1k писал:

хе хе может уже и получили, просто не палятся, ибо зачем: если вторжение замечают, то сразу же ставят все на место и контроль у злоумышленников пропадает, НО если делать все "без шума и пыли", то рулить захваченной машиной можно ооочень долго...

Грамотный руткит тяжелее просечь чем новый пхп файл.

Естественно, поэтому такие пхп-файлы ведь и используют лишь как временный шелл, с его помощью и добиваются рута, а потом файл это обычно удаляют, еще чистят логи и т.д. и т.п. ну т.к. файл этот остался, то значит действительно врядли че-нибудь серьезное успели натворить...
Вообще надо попытаться отыскать бажный скрипт...

piskin писал:

Грамотный руткит тяжелее просечь чем новый пхп файл.

Разумеется. Для этого админу опыт нужен.

В любом случае, топикстартеру нужен человек, который сможет провести аудит системы, что бы все вычистить.

Anab0L1k писал:

Естественно дело не в этом скрипте, а в другом - дырявом, т.е. который был установлен изначально будь это скрипт ТГП, CJ, TOP, LL или что там у тебя установлено?

Proton / htm3

©©©P:foxhunter писал:

Proton / htm3

А еще чего своего или левого?

HiSpeed TDS. но она работает, в отличии от протона и тумбвкрута

посмотри права на папке в которую закачали. Вполне нормально с веба закачать в папку на которой 777, 775
и скорее всего Proton / htm3 не причем.

я постоянно делаю поиск по файлам по слову "passthru" и "base64_decode" - нахожу интересные вещи. r57shell.php находил тоже. После расстрела очередного админа, новый проходит весь сервак ипроверяет пермишены на папках

какой хост у тебя? от него очень много зависит
у меня было тоже самое:
хостер - hqhost
скрипт - форум phpBB
когда переезжал на другой хост заметил что в папке форума какаято шняга появилась более близкое изучение указало что скрипт очень похож на тот что у тебя. на новом хостинге (уже 1.5года) такого пока не наблюдалось (специально щас проверил - все чисто)

Пролазит такая дрянь обычно через OpenSource софт. Типа phpbb, phpadsnew и т.д. Код OpenSource по своему определению открыт, пишут его обычно банда индийских недоучек и каждый смышленый программер может найти в этом коде дыру, через которую можно закачать такую хрень.

Не исключено что пролезло оно с параллельного аккаунта на виртуале, там где стоял дырявый софт. А так как это почти полноценный скрипт шелла, то злоумышленник мог так позараржать кучу доменов.

Если на корневые папки юзверей не стоит аттрибут 711, то дело херня... Так можно по всем аккам на виртуале пройтись.

Pentarh писал:

Если на корневые папки юзверей не стоит аттрибут 711, то дело херня... Так можно по всем аккам на виртуале пройтись.

Если стоит 711 - то это уже херня. 710 - это, как минимум.

lega_cobra писал:

Если стоит 711 - то это уже херня. 710 - это, как минимум.

710 - и апач будет на любой запрос выдавать forbidden

Pentarh писал:

710 - и апач будет на любой запрос выдавать forbidden

Не будет. Надо апач правильно настраивать. Ибо, если апач ходит в каталог виртуала, как others - это значит, что любой другой так же туда зайдет. А там, внутри, новички от PHP налепят каталогов 777, и еще в web-space - пиши, что хошь, заливай что хошь.

А при очень правильной настройке - 700

Не, ну это надо чтобы апач тогда под юзверем ходил. А это еще большая дыра, т.к. тогда для апача будут открыты все папки и файлы юзера.

А если апач под others ходит и на любом отрезке пути встречает 700, то выдается такой матюкв еррор.лог:

Код:

Permission denied: access to / failed because search permissions are missing on a component of the path

аттрибут 711 на хомяке юзера пустит туда апач, но не даст просмотреть содержимое каталога для others. ИМХО, оптимально.

и вообще, на /home должно быть 711 тоже.

Выяснилось что залезло через протон путём ломки паса. Заменили темплейт, который лоадил всякую херню с rst.void.ru... стояли всякие инклюды с непонятными мне расширениями.. щас спасиба админу всё исправлено.