- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вчера на сервере обнаружил три процесса (посмотрел из за того что сервер перегружен был от них):
Почему то не получалось убить процесс и перезагрузил сервер, после этого как посоветовали отключил некоторые системные функции в php (не были отключены).
Вопрос таков - как найти залитый шелл (пробовал искать по строке "bin/perl" - толку нет), или возможно скрипта и нет уже на сервере?
Сайтов не много, но довольно много файлов, разные движки (IPB, DLE, Жумла и т.п.).
Нужно доверить это дело, специалистам =)
Нужно доверить это дело, специалистам =)
Самому нужно учится)
Самому нужно учится)
В данном случаи вы не сами учитесь, а хотите что-бы вас научили, на самом деле это не простая тема, тут вы просто не отделаетесь команндой find :) и можете жать скоко угодно, на репу, для меня она не показатель :)
Когда ты действительно хочешь научится, то хотябы покажи что пытались делать что бы найти shell, где стопоритесь что не получаеться, а так видно одно, вы хотите готовые решение от специалистов получить :)
смотри access.log апача. По типу:
cat access.log | grep -v index.php | grep -v portal.php
тем самым исключая нормальные запросы
grep -v отсеивает запросы, таким образом отсеив нормальные доберешься до сомнительных. Если логи не успели почистить, то почти наверняка дето должен быть засвет.
ну можно еще cgi скрипты в конфиге апача вырубить
madoff, я незнаю что вам сказать, спросил так как умею, отяготить никого не собирался.
tuxee, я смотрел мельком но ничего не нашёл, сейчас сливаю все логи и попробую поискать детально, дело в другом - запрос может быть отправлен и POST методом который в логи не попадает.
Яобственно что я хочу узнать - насколько я понимаю запустили perl скрипт с правами апача, какова вероятность что испорчено (либо что то появилось) вне директорий сайтов?
zloj добавил 24.09.2010 в 15:02
ну можно еще cgi скрипты в конфиге апача вырубить
CGI было отключено для всех пользователей, запустили скорее всего через системную команду PHP...
modsecurity тоже нече не ловит ?
1) Искать вызовы посторонних файлов в логе access.log.
2) искать посторонние файлы во всех вложенных папках сайта.
Лучше переустановить ОС, так как хакер мог заменить системные файлы на сервере.
17884 apache 25 0 31220 3848 1160 R 48.6 0.1 26:35.25 perl
17887 apache 25 0 31220 3848 1160 R 48.6 0.1 25:38.57 perl
17889 apache 25 0 31220 3848 1160 R 46.6 0.1 26:15.66 perl
В Вашем случае все просто:
strace 17884
Или же lsof 17884
Это даст Вам множество информации о процессе, в том числе и о его местоположении ;)
Закрой дыры mod_sec
Этот шелл запускаясь вытирает свой файл