Форум Сайтостроение Администрирование серверов

Как-то ломанули сервер, помогите понять, как защититься

1 2345 6
LEOnidUKG
На сайте с 25.11.2006
Offline
1773
LEOnidUKG
#21

не увидел в топике... а кто Ваш хостер?

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
PB
На сайте с 10.08.2007
Offline
26
PAB
#22
nick_c:
find /path/to/wwwfiles -name '*.php' | xargs grep base64

на что именно обращать внимание? Файлов, в которых base64 встречается дохрена.

wordpress, коды бирж и т.д.

PAB добавил 24.08.2008 в 12:44

LEOnidUKG:
не увидел в топике... а кто Ваш хостер?

сервер у скаймедии лежит skyme.ru

instamag.ru - классные магнитики из инстаграма (http://instamag.ru?r1=forums&r2=armada)
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#23
PAB:
sshkey уже сделан
пхп работать должен от какого юзера? сейчас он стоит как модуль апача и работает из той же группы, что и апач.
это не троян на компах - судя по таймстемпу последнего взлома, и у меня и у напарника в это время компы были выключены.

***

а как-то можно отследить и залогировать кто имел доступ к файлу, как и когда?

php в таком режиме - уязвимость, потому что не дает отследить скрипты какого юзера были проломаны

Не стоит плодить сущности без необходимости
PB
На сайте с 10.08.2007
Offline
26
PAB
#24

clamav ничего не показал

методом научного тыка и ограничений разных, под атакой остался один экаунт и вредоносный код появляется там только в одном файле, запись в который разрешена специально

как теперь отследить откуда туда пишут?

LineHost
На сайте с 20.01.2007
Offline
339
LineHost
#25
PAB:
clamav ничего не показал

Подключитесь по ssh и наберите:

halt и нажмите на "ENTER"

А потом звоните тому же Andreyka с этого форума. Можете и PM написать 😆

SERV.LT - Стабильные услуги хостинга, KVM VPS в Литве, Франции. (https://www.serv.lt/ru/vps/kvm/) Недорогие выделенные серверы (https://www.serv.lt/ru/dedicated-lt/) в Литве.
M
На сайте с 19.09.2007
Offline
112
manman
#26
PAB:
clamav ничего не показал
методом научного тыка и ограничений разных, под атакой остался один экаунт и вредоносный код появляется там только в одном файле, запись в который разрешена специально
как теперь отследить откуда туда пишут?

ну для начала как минимум сравнить время модификации этого файла с логами апача и прчего софта (фитипишник, лги крона) за это время.

PB
На сайте с 10.08.2007
Offline
26
PAB
#27
manman:
ну для начала как минимум сравнить время модификации этого файла с логами апача и прчего софта (фитипишник, лги крона) за это время.

как я уже писал, в логах апача ничего подозрительного нет, в логах фтп тоже, т.к. он отключен, в кроне тоже ничего подозрительного.

LineHost
На сайте с 20.01.2007
Offline
339
LineHost
#28
PAB:
как я уже писал, в логах апача ничего подозрительного нет, в логах фтп тоже, т.к. он отключен, в кроне тоже ничего подозрительного.

Чудес не бывает - тот кто лезет к серверу имеет 100% доступ к системе. Он может издеватся столько, сколько ему понравится. Находить можно изучая всё очень внимательно. Взломщик не напишет "здраствуй я ваша тётя, ищи меня там во столько то часов".....

Андрейка написал чётко в чём проблема, остаётся только её найти. Это типичные ошибки народных умельцев. Извините за резкость, но надо иметь терпение по крупинке перерыть весь сервер. Если не найдёте, повторите процесс до тех пор, пока найдёте....

А так 

pkg_add -r sysadmin
😂
Zaqwr
На сайте с 08.08.2007
Offline
111
Zaqwr
#29

#!/bin/sh

for x in "/dev/shm /tmp /usr/local/apache/proxy /var/spool /var/tmp"; do ls -loAFR $x 2>&- \

| grep -E "^$|^/| apache | nobody | unknown | www | web | htdocs " \

| grep -E "^$|^/|/$|\*$|\.pl$" | grep -Ev "sess_" \

| tee exploits.txt; done; echo -e "\n\nPossible Exploit Files and Directories: `grep -Ev "^$|^/" exploits.txt \

| wc -l | tr -d ' '`" | tee -a exploits.txt

exit

может пригодится

Администрирование, Linux, Cisco, Juniper
Роман Мандрик Вирусный маркетинг: ТИЦ: интересные изменения 13-01-07 Вопрос по mySQL
В
На сайте с 16.12.2007
Offline
10
Вэл
#30

Внимательно смотрите диру /tmp,куда любят складывать эксплойты.

Скачайте AVZ,сделайте скан своих компов. Возможно, что-то осталось.

Each night when the day is through I don't ask much I just want you...GOOD FUCKN SERP! :)
1 2345 6

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий