- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вчера на сервере обнаружил три процесса (посмотрел из за того что сервер перегружен был от них):
Почему то не получалось убить процесс и перезагрузил сервер, после этого как посоветовали отключил некоторые системные функции в php (не были отключены).
Вопрос таков - как найти залитый шелл (пробовал искать по строке "bin/perl" - толку нет), или возможно скрипта и нет уже на сервере?
Сайтов не много, но довольно много файлов, разные движки (IPB, DLE, Жумла и т.п.).
Нужно доверить это дело, специалистам =)
Нужно доверить это дело, специалистам =)
Самому нужно учится)
Самому нужно учится)
В данном случаи вы не сами учитесь, а хотите что-бы вас научили, на самом деле это не простая тема, тут вы просто не отделаетесь команндой find :) и можете жать скоко угодно, на репу, для меня она не показатель :)
Когда ты действительно хочешь научится, то хотябы покажи что пытались делать что бы найти shell, где стопоритесь что не получаеться, а так видно одно, вы хотите готовые решение от специалистов получить :)
смотри access.log апача. По типу:
cat access.log | grep -v index.php | grep -v portal.php
тем самым исключая нормальные запросы
grep -v отсеивает запросы, таким образом отсеив нормальные доберешься до сомнительных. Если логи не успели почистить, то почти наверняка дето должен быть засвет.
ну можно еще cgi скрипты в конфиге апача вырубить
madoff, я незнаю что вам сказать, спросил так как умею, отяготить никого не собирался.
tuxee, я смотрел мельком но ничего не нашёл, сейчас сливаю все логи и попробую поискать детально, дело в другом - запрос может быть отправлен и POST методом который в логи не попадает.
Яобственно что я хочу узнать - насколько я понимаю запустили perl скрипт с правами апача, какова вероятность что испорчено (либо что то появилось) вне директорий сайтов?
zloj добавил 24.09.2010 в 15:02
ну можно еще cgi скрипты в конфиге апача вырубить
CGI было отключено для всех пользователей, запустили скорее всего через системную команду PHP...
modsecurity тоже нече не ловит ?
1) Искать вызовы посторонних файлов в логе access.log.
2) искать посторонние файлы во всех вложенных папках сайта.
Лучше переустановить ОС, так как хакер мог заменить системные файлы на сервере.
17884 apache 25 0 31220 3848 1160 R 48.6 0.1 26:35.25 perl
17887 apache 25 0 31220 3848 1160 R 48.6 0.1 25:38.57 perl
17889 apache 25 0 31220 3848 1160 R 46.6 0.1 26:15.66 perl
В Вашем случае все просто:
strace 17884
Или же lsof 17884
Это даст Вам множество информации о процессе, в том числе и о его местоположении ;)
Закрой дыры mod_sec
Этот шелл запускаясь вытирает свой файл