Что в логах, попытки взлома?

Нету тут взлома.

Что это за файл 1.php - судя по запросу он у вас существует.

Если это и был хакер, то далеко не знакомый с этим ремеслом.

Так что, ТС, можете расслабиться :) Всё нормально.

А что есть, если не секрет? :)

Спасибо, успокоили. Но запросы все равно подозрительные.

Что это за файл 1.php - судя по запросу он у вас существует.

о, воронежские хакеры.

Reise, учитывая код ошибки - 200 и целых 181009 байт в ответе, надо бы проверить внутри файла наличие php-кода в файле /uploads/fotos/foto_110011.png

Убедиться, что сервер не исполняет такие файлы png как php. Тут искали типовую ошибку в галереях.

Соберите другие запросы от этих IP и проанализируйте. Может быть там были и другие типовые уязвимости и какая-нибудь из них все же нашлась и была использована.

Вы думаете что nginx на статике стоит, и исполнили, двойное раширение файла Png ?

А если у него nginx + fpm тогда всё-таки 1.php запускали ?

madoff, я тебя далеко не всегда понимаю. вот и сейчас.

сейчас там его нет, но может тогда и был, у меня только сегодня дошли руки до логов.

Да, проверил foto_110011.png vim'ом - и офигел, сверху идет очевидно действительно код картинки (не читабельные символы), а ниже тупо php-код, который начинается так:

Reise добавил 20.11.2011 в 23:12

Да, спасибо, есть код, файл пока удалил от греха подальше. Я так понимаю это шелл, только как его можно вызывать, если это png-картинка?

Я не пойму, почему ты решил что в png код будет php - судя по какому запросу ? я вижу чистый запрос до 1.php может я что то не допонял.

Сейчас наверно уже не исполняет, сделал cgi.fix_pathinfo=0 в php.ini, а по умолчанию то как раз Default is 1.

Спасибо за наводку, так и делаю, может еще что найду.

Reise добавил 20.11.2011 в 23:17

у меня именно nginx + php-fpm, но cgi.fix_pathinfo было 1 - это как я понимаю дает возможность делать такие трюки.