Помогите выбрать антивирус

12
R
На сайте с 03.07.2006
Offline
214
1495

Недавно на сайт залили шелл. Ошибку в коде обнаружили и устранили.

Но хакер продолжает вносить всякие iframe и script в базу mysql

Возможность инъекций через скрипты исключили фильтром и логированием всех переменных POST GET запросов

В кодах левых скриптов не нашли. Запуск php дали только нужным директориям.

Есть предположение что заражение перешло на систему.

yum умер - дополнительное подозрение на внутрисистемный вирус.

На сервере стоит ОС CentOS 5.6 nginx 1.1.1, php 5.3.14 в режиме CGI, memcached, mysql 5.5.13, postfix, dovecot

Закрыли все порты, доступ к FTP и SSH только для отдельных IP - на этих компах стоит Avira. Поставили и запустили clamVA - ничего не нашёл, кроме пары заражённых email в почтовике.

Уже шесть часов взломщик себя не проявляет,хотя и в логах ничего нет.

Так вот встаёт вопрос. Возможно мы и закрылись от угрозы, но поскольку ClamAV ничего не нашёл, возможно имеет смысл проверить систему другим антивирусом? Dr.Web или Kasper я готов оплатить лицензию на один из них. Посоветуйте какой лучше.

U2
На сайте с 12.06.2012
Offline
19
#1

Как по мне касперский лучше, веб не нашел помню многое, что нашел каспер

Автоматизируй свои компании в Яндекс-Директ, Adwords, Вконтакте (http://context.apishops.com/102A7BFDEC6F64BBF0B2A41DEC1AC734.htm) Рекламная сеть Вконтакте (http://welcome.socialtank.ru/?lrRef=ThC6r)
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#2

а что вам даст унтивирус если вам шелы заливают )))) ? ВЫ разобрались как это происходит? А то вам антивирус не поможет даже самый мега навороченный за мильен баксов ..... будете потом страдать еще больше :D

Шелы заливают получив доступ.... начните думать отсюда, у злоумышленника "естб доступ", я думаю ему до одного места антивирь будет ваш если где-то дырка.

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
SeVlad
На сайте с 03.11.2008
Offline
1609
#3
rengen:
Ошибку в коде обнаружили и устранили.
Но хакер продолжает вносить всякие iframe и script в базу mysql

Вывод же очевиден - не устранили ДЫРУ (появившуюся или имевшуюся)!

rengen, я полностью согласен со словами выше от Romka_Kharkov.

В помощь скрипт и анализ логов (разобраться каким образом "хакер продолжает вносить..").

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
P
На сайте с 16.03.2009
Offline
144
#4

На все CentOS ставить Kasper. Иначе опасносте.

Ну а по теме. Вам надо настроить свой вебсервер таким образом, чтобы даже если был залит шел, злоумышленник не мог получить полный доступ к серверу. И конечно посмотреть логи и закрыть уязвимость, через которую заливают.

R
На сайте с 03.07.2006
Offline
214
#5

Чтобы понять как шелл попадает на сайт, его сначала надо обнаружить. Сайт не маленький и посещаемость не слабая, я расчитывал что антивирус поможет обнаружить заразу, а оттуда уже и логи высматривать и прочее.

SeVlad

Спасибо, поковыряю скрипт

P
На сайте с 16.03.2009
Offline
144
#6
rengen:
Чтобы понять как шелл попадает на сайт, его сначала надо обнаружить. Сайт не маленький и посещаемость не слабая, я расчитывал что антивирус поможет обнаружить заразу, а оттуда уже и логи высматривать и прочее.

SeVlad
Спасибо, поковыряю скрипт

Искать можно по словам "shell_exec", "base64" и т.д. во всех файлах вашего сайта.

R
На сайте с 03.07.2006
Offline
214
#7
poiuty:
Искать можно по словам "shell_exec", "base64" и т.д. во всех файлах вашего сайта.

Об этом догадались :)

Но это не помогло. Оказывается он загружает шелл, делает каку и удаляет шелл. В логах обнаружили запросы к этим шелам, но пока не понятно как они попадают на сервер.

Andreyka
На сайте с 19.02.2005
Offline
822
#8

Сначала стоит проверить, а не порутан ли сервер вообще

Не стоит плодить сущности без необходимости
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#9
Andreyka:
Сначала стоит проверить, а не порутан ли сервер вообще

Андрейка :))) +1 однозначно, но я вот сейчас со смехом это воспринял )))

P.S: надо еще глянуть а ваш ли это сервер еще ? Может быть вы уже с вашим сайтом из chroot работаете :) ?

R
На сайте с 03.07.2006
Offline
214
#10

Я рассматриваю эту атаку как возможность залатать дыры в безопасности и чему-то научиться. Благо сайт продолжал работать всё это время - хакер попался пассивный :) Если надумает запустить сайт на моих скриптах - не поленюсь написать в отдел К ФСБ.

Возможность рут доступа была рассмотрена, сканирование списка пользователей результатов не дало. Закрыли все лишние порты, доступ к SSH был дан только двум IP адресам.

Сейчас наблюдаю в логах как хакер лазит по сайту, пингует свои шелы, доступ к которым заблокирован, но ничего на сайте не меняется, видимо проблема решена. Пока он не нашёл другой дырки...

На днях хочу переставить ОСь.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий