Хацкеры одолели

Pentarh писал:

Не, ну это надо чтобы апач тогда под юзверем ходил. А это еще большая дыра, т.к. тогда для апача будут открыты все папки и файлы юзера.

Все правильно. Есть и такая настройка, при которой апач от юзера ходит. Причем, под каждого юзера - свой апач. Но так настраивают не часто. Поэтому в всех остальных случаях, если апач шаренный апач попадает к юзеру в каталог, то туда же попадет любой другой юзер на виртуале.

Цитата:

А если апач под others ходит и на любом отрезке пути встречает 700, то выдается такой матюкв еррор.лог: Код: Permission denied: access to / failed because search permissions are missing on a component of the path

Через опцию Directory надо ограничивать scope, что бы он не искал там .htaccess. Тогда и ругаться не будет. И работать будет капельку шустрее при большом темпе запросов.

так непарся зделай через .htaccess автаризацию по ip и некаких проблем небудет

есле ктото неначнет ламать ствоей тачки

©©©P:foxhunter писал:

Закачалась хуйня на сервер.. сцуки пидорасы..сапорт молчит мой.. хз чего делать...

Если свой дедик, то http://esupport.org.ru/services/security/basic.html

Если нет - порекомендуй своему хостеру стукнуть ко мне ;)

©©©P:foxhunter писал:

Выяснилось что залезло через протон путём ломки паса. Заменили темплейт, который лоадил всякую херню с rst.void.ru... стояли всякие инклюды с непонятными мне расширениями.. щас спасиба админу всё исправлено.

Яб на твоем месте не был бы таким самоуверенным.

Когда ставят вебшелы их ставят пачками, чтобы если вынесли один остались другие.
Дырку можно оставить и в работающих скриптах путем внесения не хитрого кода, через который опять можно залить вебшел.

Если поимели твой виртуал, то не факт что не поимели весь сервак хостера, таких вебшелов(если хацкир не дурак) уже наставлено у других юзеров дакучи.

Так что превед твой домен попал в ботнет ;)

пью пиво щас, потому не сильно читал это все что написали, НО
r57 - довольно старый и очень грамотно написаный шелл (можно назвать и бэкдор) , любыми путями заливается на сервак, под разными названиями, хацкер, его заливший может делать с серваком ВСЕ ЧТО ЗАХОЧЕТ (особенно, если скрипт купленый, а не опенсорс)
выход один - проверить коды ВСЕХ файликов с расширением .php,
И есчо : если юзаешь виртуал - жди гостей таких всегда, я сам в детстве так шутил
вот пример работы r57

Гы, так вот кто по сайтам знакомств шляется

Оффтопик: зато у мня почти на каждый выход в офф новая дифченка [/offtopic]

Цитата:

awm_mark: И есчо : если юзаешь виртуал - жди гостей таких всегда, я сам в детстве так шутил

Решил спросить. Всегда интересно зачем люди так шутят.
Объясни плиз - в чем юмор?
Насрать людям - это смешно?

Оффтопик: ну ты спроси у тех, кому меьше 30 (ну я так втыкнулся в тему), мне было прикольно на их сайтах наделать кучу орфографических ошибок, например так, и посмотреть насколько админ тормозит - когда исправит ,
с админом aeroflot.ru нормальные отношения долго были, пока я аську не потерял

awm_mark писал:

И есчо : если юзаешь виртуал - жди гостей таких всегда, я сам в детстве так шутил

Уши бы оторвал... Я потерял на этой хрени около 300$ при доходах в 1к.. т.е. треть доходов за то что какой то прыщавый пидор пошутил

tasteart писал:

Решил спросить. Всегда интересно зачем люди так шутят. Объясни плиз - в чем юмор? Насрать людям - это смешно?

спомни сам себя подростком, можно подумать пай мальчиокм был

©©©P:foxhunter писал:

Уши бы оторвал... Я потерял на этой хрени около 300$ при доходах в 1к.. т.е. треть доходов за то что какой то прыщавый пидор пошутил

да ради бога, попробуй , я не скрываюсь, живу сейчас в Киеве, есть отрицательные эмоции у тебя - а ну попробуй на мне выместить : ) , я размерами небольшой, своим видом тебя не испугаю : )
а это все я написал для того, чтобы знали и не расслаблялись, скрипткидеров дохрена сейчас

Мне тоже этот скрипт залили, запалил только когда логи просматривал-смотрю, а в списке рефереров - кулхацкерский форум. Я туда- а там уже мой сайт обсуждают. Вот блин.
Пришлось все проверить, перетрясти все домены.
По моим подозрениям поимели через Oscommerce -скрипт инет-магазина, если кто не знает

песец непонятный - у меня спроси как залив идет, стесняемся наверное

часто такие скрипты ставят для расылки спама, или установки троянов, я так думаю. поэтому вред какой нибудь вред сайту причинят, тк не выгодно чтоб об этом знали.

Пара дельных советов !!! Снести все скрипты на хостинге и переставить самые последние версии скриптов. Если накер этот backdor оставил на серваке значить он не получил ещё root постарайся удалить все backdor с сервака Крутой хакер удалил би этот скрипт через 5 минут после взлома так что у тебя на серваке ламер вандал . Самое главное реальный хакер никогда не полез би на твой сервер ламера можно взять за яйца он 100% без proxy лез к тебе и ты можеш узнать его ip и написать его провайдеру и он тоже попадёт на деньги !!!

][ацкеры жжут ! а вот топикстартеру рст лучше не лажать имхо хорошая команда

при залитом r57 рут получается элементарно, все скрипткидеры знают об этом

если бы у него( у хакера ) был рут он бы первым делом удалил бы r57 а насчёт элементарного получения рута не всё так просто для этого есчё хостинг должен быть криво настроен поверь я знаю о чём говорю ;)

я говорю о том, что я делал,
НО уже это в прошлом

awm_mark писал:

при залитом r57 рут получается элементарно, все скрипткидеры знают об этом

Это только если сервер настраивал такой же кид какой пытается ломануть его скриптом

Не, ребят, ну странные Вы люди. Ежели сами в безопасности не сечете - так нанимайте спецов, благо щас таких уйма и берут они за свои услуги совсем немного. Ежели Вы готовы за хост отваливать от 50 зеленых в месяц и выше, то 50-100 баксов за аудит - не шипко большие средства, ИМХО!

Что же касается того, что тут понаписано про шелл от RST и скрипт-киддисов - вообще лажа. Если в этот шелл хоть раз заглянуть, то всякие мысли типа "с rst рут мгновенно получается" сразу отпали бы...

На тему руткитов. А кто Вам сказал, что сервак поимел и залил шелл один и тот же человек? На сплойтерских форумах стандартно один чувак имеет серв, вываливает на него шелл, а затем толпы лохов устремляются на поиметую тачку. Так что rkhunter хотя бы ну и chkrootkit запустить не повредило бы.

И, опять же, ИМХО, вряд ли тачку брали через подбор пасса в протоне. Если только там не admin:12345 было. Наверняка исходная дыра осталась. Если она вообще была, а не через хостинг брали.

Да, насчет находимости шеллов - вообще полная лажа. Если спец займется серваком, то хрен какой админ его шелл найдет! :-)))

bjones писал:

Да, насчет находимости шеллов - вообще полная лажа. Если спец займется серваком, то хрен какой админ его шелл найдет! :-)))

Смотря как сервер настроить ;)

Pentarh писал:

аттрибут 711 на хомяке юзера пустит туда апач, но не даст просмотреть содержимое каталога для others. ИМХО, оптимально. и вообще, на /home должно быть 711 тоже.

771 на /home - не только тут можно увидеть список юзеров/хостов, есть ещё кучка мест где оно как на ладони.
зная какие скрипты стоят на хосте (просто по http зайти), не спасёт от 711 на дире юзера.
как правило темплейты/топы в сиджах имеют 777, либо права на запись от апача, либо 777 на целые директории... вобщем заифреймить/убить с очень высокой вероятностью можно практически любой сидж на виртуалах... стрёмно зная это, держать на виртуале сидж, и потом как обьяснять трейдерам что ифрейм не ты поставил, а добряк сосед по виртуалу ...

ps. сам на дедик переехал...

Оффтопик: сорри дубль