Гадость появляется в user/tmp

сообщите админу, пусть обновляет ПО и ставит заплатки.

да я сам и есть админ (какой-никакой:) )- когда надо заказываю платное администрирование, но в этом случае бесполезно, т.к. сайтов под этим юзером штук 40... в смысле, если имелось в виду в скриптах дырки...

думал просто можно правами решить, т.к. явно загрузчик какой-то заливают, а он уже разрастается...

может htacess-ос как-то решить можно? запретить php, например...

зы

признаки -

папки ChuCu; .co; root;

файлы psy.tar; mpg

зы2

как я понял гадость досит кого-то, т.к. на ip на котором нет сайтов, а только панель (ISP) возрос OUT traffic не-русский до 63 гигов за несколько дней

может кто-нибудь сталкивался и успешно блокировал?

а то и мне накладно и стремно, а кому-то, возможно, тоже несладко.. :(

Какой смысл лечить симптомы, если проблема в ином? Если заливают через дырки в скриптах, то в пхповый tmp всё равно смогут залить.

Если пхп на сайте не нужно - отключите его на уровне virtualhost.

без пхп - никак... почти все сайты на нем...

я и пытаюсь понять как лечить причину - симптомы вычистил уже

просто все сайты нереально быстро пройти - некоторые на самописных скриптах, некоторые на cms и прочих двигах стронних...

А можно ли сделать вывод, что гадость влезла не через сайты, т.к. использует ip на котором нет как раз сайтов вовсе?

во первых можно засекурить /tmp во вторых можно проставить простейшую проверялку которая по крону будет чекать тмп на появление гадостей. если гадости из области - закрыть доступ к компиляторам для всех юзеров кроме рута. если из области перла - тогда сложнее. если перл не используется юзеррми и сайтами - тогда можно чмодом перл разрешить только руту. а тогда уж пусть что угодно заливают аплодом - пахать в тмп не будет.

еще можно проставить модсекурити и поставить его на режим логгирования - в его логах (если включить фильтрацию пост запросов) найдется откуда суют эти гадости ну а исправить проблему уже дело техники...

почему-то надеялся именно от Вас получить толковый ответ!

1 во первых можно засекурить /tmp - если не сложно - в 2х словах - это как?

2. да, огромное спасибо за идею - это, думаю, легко реализовать - убивать все кроме сессий...)

3. Вы пропустили из какой области

4. я замечал процесс perl в топе, при том, что ни у кого из юзеров не разрешен cgi

но, боюсь панель может его использовать не только из-под рута (ipsmanager lite)...

5. уж очень неохота, если речь идет об абузах, или Вы имели в виду ip в файрвол скормить?

так они поменяют тут же

3) сишные - часто подсовывают .с файлы и пытаются скомпилить эксплоит. если доступа к компиляторам не будет то скомпилить не смогут

1) типа такого http://www.webhostgear.com/34.html там под спанель но это не имеет значения

4) можно попробовать запретить запуск перла с тмп раздела. по идее можно написать просто враппер который будет проверять откуда запрос идет на запуск перла и только если он идет из разрешенных мест разрешать запускать перла.

5) если это про модсекурити то не понял при чем тут абузы. этот модуль апача работает как сниффер и позволяет фильтровать/логгировать все запросы к веб серверу - как напишите рулез для фильтрации так и будет фильтровать и блочить если правило требует запрета. блочить может чисто своими методами а может и на фаерволл пересылать.

Поставьте для временных файлов php путь к индивидуальной tmp директории в homedir каждого пользователя

Пропатчите php чтоб запускался от пользователя - тогда и узнаете кто шкодит

Вы имели в виду для каждого сайта, а не пользователя?

От пользователя и запускается, но не всегда и он 1 в этом случае (есть и модулем, есть cgi)

т.е. посмотреть в каком темпе появится гадость и уже там копать скрипты? хм... возможно...

спасибо еще раз огромное!

Вы администрированием занимаетесь профессионально? можно в личку - буду вечером