- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Могли пропатчить ssh, netstat, who, last и соответственно не видно что кто-то заходил на сервер. Для этого даже не нужен ssh потому что закладка висит на каком-то порту и netstat не показывает этого.
А как писал Andreyka что права на файл корявые так этим способом сломать достаточно сложно. Потому что файл после исправления должен быть запущен пользователем с высокими привилегиями. Либо на нем стоит суид бит и писать в этот файл могут все подряд.
Вообще FreeBSD постоянно посылает логи руту о состоянии системы. В особенности каких юзеров добавили, какие суидные файлы изменились и запускались и т.д.
Есть один параноидальный метод защиты: это делать контрольную сумму всех файлов и потом раз в неделю проверять
да кто вам вообще сказал что систему ломанули? поставили iframe на сайты через какой-нибудь xss или в дырявых php скриптах. 100% висит где-то шелл, не так то уж и просто саму freebsd поламать чтобы получить рут доступ в систему, и тех кто может это сделать - единицы. а школьник какой-то начитался хакерских форумов и залил свой шелл. нужно его просто найти. как я писал выше, делай grep по base64 и смотри все подозрительные php скрипты, уверен что найдешь что-то интересное в папках с картинками и т.д. смотри лучше.
PAB, смотрите время изменения файлов, в которые код вносится, после чего смотрите логи апача в этот промежуток времени.
Сетевые жулики часто пользуются тачем, только школьники так прокалываются.
после того, как несколько подправил конфиги php, стали появлятся вражеские записи только в нескольких файлах, на которых остались права доступа 777. Только в одном экаунте.
Соответственно это явно через скрипт ломают. Но вот никак не могу найти, где же дыра.
Поиск по base64 ничего подозрительного не показал. Только 2 файла с кодами бирж (sape и xap).
Как бы отыскать вредоносный скрипт?
netstat, who, last и логи авторизации ничего не показывают, т.к. взлома и не было, дырка точно в скрипте.
Еще позавчера начал писать это дело :)
после того, как несколько подправил конфиги php, стали появлятся вражеские записи только в нескольких файлах, на которых остались права доступа 777. Только в одном экаунте.
Соответственно это явно через скрипт ломают. Но вот никак не могу найти, где же дыра.
Поиск по base64 ничего подозрительного не показал. Только 2 файла с кодами бирж (sape и xap).
Как бы отыскать вредоносный скрипт?
Еще раз повторю - вы знаете время изменения скрипта, куда вкрячили вредоносный код.
Внимательно глазами смотрите логи за это период (время изменения файла, плюс-минус минуту).
Скорее всего, ответ будет там.
Еще раз повторю - вы знаете время изменения скрипта, куда вкрячили вредоносный код.
Внимательно глазами смотрите логи за это период (время изменения файла, плюс-минус минуту).
Скорее всего, ответ будет там.
ни в логах апача ни в логах nginx'а ничего подозрительного в это время нет. Есть в совершенно другое время попытки подставить в урл этот самый орентраф, но всё эти варианты я проверл - там сервер выдает 404 или если не 404, то ничего и не происходит.
ни в логах апача ни в логах nginx'а ничего подозрительного
А тут уже не подозрительное надо искать, а вообще все запросы смотреть. Отрезав статику, отрезав 404, 302 итп - разбирать все get-параметры, все скрипты, в которые были post - уже под подозрением.
На что народ только не идет вместо того чтоб сделать все как надо
На что народ только не идет вместо того чтоб сделать все как надо
сделать то я всё сделал, теперь ломать перестали, но дырки найти так и не могу
Попросите своего админа сделать аудит сервера