- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пришло сегодня на мыло уведомление о Liveinternet о том что кто-то запросил на своё мыло пароль от статистики моего сайта. Т.к. мыло было указано не моё - то сразу же возникли неприятные подозрения.
Полез на сервер - обнаружил в корне сайта файл, который LI обычно запрашивает для подтверждения прав на сайт.
Файл похоже создан средствами PHP (по крайней мере имя пользователя и группа - теже). Ещё права на все файлы и папки сайта изменены на 777. Но, там все файлы с правами пользователя, созданного через ISP manager, а права на файл для LI - соответственно другие. Получается что доступ был не только к PHP. Может через FTP залезли, но логов за сегодня нет - только мои за последние 15 минут.
Теперь не знаю куда бечь и что делать. Где искать через что залезли и как вычистить возможные дыры, шеллы и т.п. Движок сайта самописный, загружать что-либо на сайт без авторизации не позволяет (ну если я конечно где-то косяков не наделал). Стоит ещё правда партнерка с чужими PHP скриптами. Может ещё в ней дело. Но как это выяснить?
P.S. Не знаю как убрать этот дурацкий смайл в заголовке сообщения.
очень высокой процентов взломов, через кражу паролей фтп\ссш, проверьте эти логи, первоочередно
если есть "чистые" бекапы, подымайте
очень высокой процентов взломов, через кражу паролей фтп\ссш, проверьте эти логи, первоочередно
FTP логи, как уже писал, чистые.
судя по тому что отдаёт команда LAST - никто, кроме меня не логинился. Где ещё можно поискать?
Судя по валяющемуся уже 3 часа файлу для LI - следы заметать и не планировали.
homer18 добавил 10.10.2010 в 22:21
Да, кстати, LiveInternet прислал мне IP с которого запрашивали пароль и Email куда он был отправлен.
Вбивание в поиск этого мыло дало занятные результаты - по нему нашёлся некий украинец нетрадиционной ориентации (несколько постов на тематических форумах). IP с которого запрашивали пароль - из Германии (сервисы указывают на Лангебрюк).
какая ОС
файлы созданы от какого пользователя?
stat -s file покажиет вывод, если не удаляли и не переименовывали
какая ОС
файлы созданы от какого пользователя?
stat -s file покажиет вывод, если не удаляли и не переименовывали
ОС - Debian lenny
система не знает команды stat
Как уже писал выше - файл, который для liveInternet'a создан от имени апача. Все остальные файлы сайта созданы от имени юзера созданного через ISP mananger. У этого юзера нет прав заходить по ssh, но есть доступ на фтп. Правда, возможно, (точно не помню уже) я мог разрешить апачу их менять (VPS-то вроде мой, ограждать от самого себя не видел нужды). Сейчас вот обнаружил файлик (прикрепляю его к посту) скромно запихнутый в существующую папочку на сайте и с поменяной датой. Что там такое - хз ) пока не понял.
UPD: а, похоже это и есть веб-шелл. Осталось выяснить как же он туда попал.
Кстати этот IP (с которого запрашивали пароль в LI) - есть в логах веб-сервера. Первый раз он зашёл на главную страницу сайта примерно в 2 часа дня, а затем уже в 6 часов идёт сразу запрос этого файла, который как-то оказался на сайте.
С этого же IP в логах auth.log остались 5 попыток авторизации по ssh. Но больше нигде упоминаний пока найти не удалось.
файл - типичный веб-шелл
пароль там "root", если интересно
как залили, лично я их Ваших слов не понял, то ли через фтп\ссш, то ли через веб
вобщем сами настраивали всё, Вам виднее
совет, откатитесь до "чистого" бекапа
включяйте tcpdump и ждите пока снова файл появится, а потом разгребайтесь кудой его залили
п.с. но мне что-то кажется, что через фтп, слишком всё типично )
mod_security - полчаса настройки и годы спокойной жизни
угу :)
только проблема в hands.sys их бы пропатчить для этого надо :)
Тогда поставлю вопрос с другой стороны. Раз уж, по хорошему, надо полностью грохать всё на сервере и заливать/настраивать заново, при этом сайты не будут работать, то проще будет переехать на другой сервер и настроить его с нуля, а сайты пока пусть поработают как есть, пусть даже с потенциально ненайденными шеллами.
В ближайшее время я постараюсь арендовать другой сервер и его надо будет профессионально настроить. Может быть, кто-нибудь из читающих эту тему согласится это сделать и сколько это будет стоить? На сервере должна стоять ISPManager lite (лицензия есть).
icq 2 три 1 440
Пишем, помогу.
$150 - профессионально настроить ;)
Возможно есть уязвимость в самописных скриптах.
Распространённые SQL inj, File include-инг
Так же если на сервере не 1 сайт, точка входа может быть на любом из них.
Если Вас интересует аудит на эту тему, киньте в личку URL-ы сайтов (с самописными движками)🍿