- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не факт что с одного ip пытаются ломать. phpmyadmin не закрыт паролем?
Не факт что с одного ip пытаются ломать. phpmyadmin не закрыт паролем?
Не-поняла, что значит не закрыт паролем? Скорее всего где-то на сайт бэкдор. Но вот как его найти, про сканировала весь код eval( есть только в ява скриптах.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
Вирус себя спокойно постит в папку 2 командой /engine/ - site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
В порядке бреда с учётом того, что шелл из-за дыры в DLE.
Вскройте php.ini, найдите:
; http://php.net/safe-mode
safe_mode = Off
Замените на:
; http://php.net/safe-mode
safe_mode = On
Надеюсь, что решит проблему до выхода заплатки. После изменений ребутните сервер.
В порядке бреда с учётом того, что шелл из-за дыры в DLE.
Вскройте php.ini, найдите:
Замените на:
Надеюсь, что решит проблему до выхода заплатки. После изменений ребутните сервер.
Во первых я уже узнавала на хостинге нельзя включить защищенный режим и управлять через php.ini или .htaccess. У меня виртуальный хостинг nginx, провайдер timeweb.
Как я расшифровала логи, если я нетак расшифровала поправьте меня, мне хочется узнать где-же все же баг в движке, или украли пароли от ftp доступа.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "GET / HTTP/1.0" 200 49217 "-" "-"
Получили главную страницу сайту.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /engine/initme.php HTTP/1.0" 404 211 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /engine/initme.php, сервер вернул ошибку 404 - потомучто этот файл я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/htaccess.php HTTP/1.0" 404 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /uploads/htaccess.php, сервер вернул ошибку 404 - этот файл ранее я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:03 +0300] "POST /uploads/1.php HTTP/1.0" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Обратились к файлу /uploads/1.php, сервер вернул ошибку 404 - потомучто этот файл я удалила.
site.ru 91.79.88.160 - - [08/Mar/2011:19:41:04 +0300] "POST / HTTP/1.0" 200 59951 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.4) Gecko/2008102920 AdCentriaIM/1.7 Firefox/3.0.4"
Начали заливать вирус на сайт, размер файла 59951, как называется файл который появился на сайт неизвестно и в какую директорию он был залит. Сервер легко разрешил создать это файл на хостинге в директории сайта, вернув код 200 ОK.
Мое мнение такое, если-бы в движке был бэкдор, в логе отобразилось обращение к файлу трояна, этого в логи не показано, значит хакеру известен пароль и логин ftp к доступу на сайт .
Или я не права, поправьте меня пожалуйста? Это все-же бэкдор или известен хакеру пароль и логин к ftp?
Обратите внимание AdCentriaIM/1.7 Firefox/3.0.4 - известный вирус AdCentriaIM заражает Firefox, у злоумышленника этот вирус в его браузере, либо он специально сделал такой рефер в программе которая эмитирует браузер и создает команду POST.
Сложно сказать как ломали. Но нужно еще учесть то что злоумышленик имевший доступ к файлам должен знать пароль к БД, зайдя под этим паролем в site.ru/phpmyadmin может с любого "гостя" сделать админа, потом разрешить загрузку php, далее залить шелл в /uploads/files/ Но как обойти htaccess...
Еще шелл может быть спрятан в файлах визульного редактора, могут так же быть изменены файлы движка. Вы бы архив выложили с файлами движка (без паролей).
Но нужно еще учесть то что злоумышленик имевший доступ к файлам должен знать пароль к БД
Не должен.
Топикстартера прошу переехать в /ru/forum/development/servers-administration
Сложно сказать как ломали. Но нужно еще учесть то что злоумышленик имевший доступ к файлам должен знать пароль к БД, зайдя под этим паролем в site.ru/phpmyadmin может с любого "гостя" сделать админа, потом разрешить загрузку php, далее залить шелл в /uploads/files/ Но как обойти htaccess...
Еще шелл может быть спрятан в файлах визульного редактора, могут так же быть изменены файлы движка. Вы бы архив выложили с файлами движка (без паролей).
Даже если злоумышленник сделает себя админом, он не сможет просто залить файлы в корневую папку сайта и в папку engine, даже если зальет в uploads или templates как ему обойти htaccess?. Все делается на автомате посмотрите на дату логов, все команды POST - делаются в одну минуту, работает бот а не человек. Потому-что действия всегда аналогичные, вначале проверка на существования трояна, если его нет они заливаются, и все это в одну минуту. Забыла добавить у меня на аккаунте 4 сайта, и 3 сайта постоянно заражаются в одно время сразу гопом, а 4 почему-то не заражается, возможно причина, его показатели нулевые и нет в индексе, а может причина в другом.
Вариант шелла в виде .jpg .png как часть .php рассматриваем? Интересует содержимое .htaccess'a. Заодно прилепите сюда favicon.ico.
Вариант шелла в виде .jpg .png как часть .php рассматриваем? Интересует содержимое .htaccess'a. Заодно прилепите сюда favicon.ico.
В Uploads
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>
В Temlpate
Order Deny,Allow
Deny from all
Удалено, уполз спать.