- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Ко мне поступил сервер, выполняющий роль коммерческого хостинга сайтов, который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали.
Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи.
Никаких логов небыло, так как они все были почищены, так что взломщик не оставил за собой следов, и я начал поистине детективное расследование — с уликами и подозреваемыми.
Читать дальше
Andreyka, Любопытненько
Итак, взломщик при помощи эксплойта нашел уязвимость в ядре, после чего использовал руткит для mysqld, который при
старте запускает бекдор, маскирующийся под процесс /usr/sbin/httpd!
Про эксплойт подробнее :-) Весьма неочевидно из текста, что он использован.
Приходилось видеть более простые "дырки" :-) Например, апач пишет
логи в директорию, над которой обычный шелл-пользователь
имеет полный контроль.
А как без сплойта можно из-под nobody порутить mysqld? :)
Да и потом - потерли все логи, в тч wtmp
Так что сервак они порутали
А как без сплойта можно из-под nobody порутить mysqld? :)
Да и потом - потерли все логи, в тч wtmp
Так что сервак они порутали
"Порутать" можно по-разному. Дайте мне обычный shell-доступ и
сделайте chmod -R 0777 /root/ ;-) // Предполагается, что root однажды
зайдет по ssh на сервер...
Т.е. никаких сплойтов, кривые права. Пример выше с логами апача я наблюдал на какой-то обычной панели, типа плеска. Может и поправили.
Права были нормальные
Andreyka, А кто мешает на хостинге /tmp/ держать в домашней дирке пользователя ?
А это уже не имеет значения, важны не места а права на них
Andreyka, В своей папке юзер пусть хоть 777 ставит это неважно в отношении взлома сервера :)
бинарник неизвестного формата с названием xh, вероятно эксплойт, не рабочий
Может ядро обновили. было недавно что-то страшненькое в популярных дистрибутивах. Гуглить по wunderbar_emporium.tgz
В общем, детективная тема (типа "чем именно убил раскольников старушку") - не раскрыта. Как поимели рута - загадка.
Andreyka, В своей папке юзер пусть хоть 777 ставит это неважно в отношении взлома сервера :)
А потом в эту директорию сделают upload и поместят бота, который будет бутфорсить пароли, слать спам и прочие штуки
Andreyka добавил 02.10.2009 в 20:33
бинарник неизвестного формата с названием xh, вероятно эксплойт, не рабочий
Может ядро обновили. было недавно что-то страшненькое в популярных дистрибутивах. Гуглить по wunderbar_emporium.tgz
В общем, детективная тема (типа "чем именно убил раскольников старушку") - не раскрыта. Как поимели рута - загадка.
Нет, не обновляли
Сплойт конечно же удалили, потому что делал человек
А остальные скрипты которые лил ботнет - остались