phpshell и защита от него!

D
На сайте с 05.06.2007
Offline
155
#21

myhand, наконец-то хоть 1 граммотный ответ, читал читал, думал не дочитаю до него, а он оказался последним :) Хотя ещё был совет не плохой, закрыть хостинг или платить опытному сисадмину.

Для ПС:

Действительно, по факту на лицо взлом root, сделано это с целью заразить веб.

(не исключено что у вас вирусы, да-да, именно у владеющего паролем root, либо система не обновляется)

Проверяем у себя вирусы и программы для подлючения, бекапим пользователей, переустанавливаем всю систему на сервере, делаем её очень безопасной (это отдельный вопрос) и только потом восстанавливаем пользователей.

По поводу прав на папки, с использование ITK всё-таки правильнее 0710, а не 0701 (это ещё одна уязвимость)

Также важно обновлять сервер, по опыту, если не обновлять его в течении 6 мес, то там начинают появляться вирусы, хоть и не всегда опасные, но чуть ли не с правами root. (элементарно - уязвимости в exim или других службах всплывают довольно не редко)

Из личного опыта, приходилось чистить сервера от подобных взломов, проще сразу переустановить систему, получится в разы быстрее и надёжнее.

И вообще, это не дело, опытный сисадмин на шаред хостинге должен быть в любом случае.

А то как правило понаделают хостингов с дешёвыми ценами с единоразовой настройкой, без сисадминов, а результат мы знаем :)

Написал не мало шедевров ;)
madoff
На сайте с 01.12.2009
Offline
235
#22
babiy:
Ладно Уважаемые, я вижу тут лишнее начинается появлятся вплоть до закрытия хоста))) давайте всё же кто готов взятся за настройку озвучьте пожалуйста цену в асю 8508000 настроить нужно один этот злосчастный сервер( в асе буду через пять минут

Обращайтесь,постараемся сделать как надо. Сложно конечно делать то что делалось первым админом, и я так понял вторым не админом, не важно сказали бы вы это, или нет, это видно по серверу, цена будет зависить от результата работы. и времини потраченном,но предварительно 80 wmz

Сейчас уже ночь(уже спать пора), днём если будет актуально пишите. Админ сосвежей головой лучше чем роботы 24x7 =)

Администратор Linux,Freebsd. (/ru/forum/494299) построения крупных проектов. ICQ#: 241606.
Zaqwr
На сайте с 08.08.2007
Offline
111
#23

madoff, ты на любом хостинге запусти там столько совпадений будет и без шела. к примеру из-за bruteforce_account_lock

babiy, стоит сначала изучить вывод полученный от вашего поиска прежде чем паниковать

Администрирование, Linux, Cisco, Juniper
Solmyr
На сайте с 10.09.2007
Offline
500
#24
Dimanych:
myhand, наконец-то хоть 1 граммотный ответ

Грамотный ответ, это "закрыть пользователям FTP"?.... Ну-ну. Почитаешь тут советов от недохостеров - поневоле ужаснешься... Один FTP советует закрыть, другой запись файлов в веб-каталоги.... Мрак.

Zaqwr
На сайте с 08.08.2007
Offline
111
#25
Solmyr:
Грамотный ответ, это "закрыть пользователям FTP"?

ну не совсем, а например так

.ftpaccess

<Limit ALL>
Allow from 127.0.0.1
Deny from all
</Limit>

на всех хостингах как правило есть панели в которых отредактировать данный файл не составит труда, правда для этого необходим proftpd

если есть возможность на sftp пересадить всех пользователей, то конечно это хороший вариант.

klassev
На сайте с 09.08.2007
Offline
144
#26

Т.С. , как вариант изоляции пользователей друг от друга, не пробовали смотреть в сторону http://www.cloudlinux.com/docs/index.php ? Тем более Вы используете CentOS.

madoff
На сайте с 01.12.2009
Offline
235
#27

ftp рабоатет в chroot окружение, тотже vsftpd

Зачем заморачиваться колдлинукс,если изолируються очень просто php-cgi.

ssh не дают уже многие, и верно делают. для обычного хостенга он не нужен.

babiy
На сайте с 06.06.2009
Offline
56
#28

За советы в общем конечно же спасибо, то что не все советы будут применимы я в принципе и знал, так как уже имел опыт (пару лет назад) тупого запуска насоветованных команд.... после того сразу ничего не выполняю без анализа, постараюсь поработать с админами придложившими здесь свои услуги, так как вижу что вопрос не совсем банальный и требует очень професионального подхода, в плане на постоянку админ, над этим конечно работаем и в ближайшее время так и поступим

Globatel.ru (http://globatel.ru) - надежные услуги на базе собственного ДЦ. Хостинг (http://globatel.ru/hosting/), VDS на базе KVM (http://globatel.ru/vps/), Dedicated (http://globatel.ru/dedicated/) ICQ 6485890, т. 8 (495) 706-49-49
VO
На сайте с 27.07.2008
Offline
130
#29
madoff:
ftp рабоатет в chroot окружение, тотже vsftpd

При чем тут chroot, когда у пользователя воруют пароль ?

madoff:
Зачем заморачиваться колдлинукс,если изолируються очень просто php-cgi.

Расскажите как вы это делаете для шаред хостинга ?

madoff:
ssh не дают уже многие, и верно делают. для обычного хостенга он не нужен.

Абсолютно не обоснованно.

Все что пользователь может сделать через ssh, он может сделать через cgi, крон и т.д.

babiy, CloudLinux на ispmanager работает хорошо включая securelve

Из минусов то что пока не готов плагин для управления прямо из ISPmanager.

Также к середине месяца должен быть выпущен релиз в котором будут работать ограничения на память.

Вам в любом случае рекомендую выполнить резервное копирование и переустановить ОС, либо просто перенести данные на другой сервер, если он заказан как Dedicated. В этом случае будет меньше спешки и все можно спокойно настроить и перенести.

B
На сайте с 21.12.2009
Offline
28
#30

подведя итог ,можно выжать следующее, на 100% это конечно не спасет, но затруднит работу хакера в разы.

установка suPHP или SuExec , убрать mod_include из php, отключить SSI, Perl если не юзается, /tmp и папку с сайтами в отдельные разделы с флагом noexec, в php.ini задизейблить функции выполнения системных комманд, установить Suhosin и настроить его на максимальную защиту, которую только возможно(разумеется чтобы скрипты остались рабочими).

поставить на папку каждого юзера права drwx------ с папок с сайтами, это не даст перемещатся вольяжно по серверу.

+логирование POST данных.

и в кроне поиск самых типичных шеллов.

Адский Кодер Разработка и аудит безопасности сайтов/скриптов(PHP+MySQL) (/ru/forum/530575)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий