Что в логах, попытки взлома?

В некоторых конфигурациях можно вызвать.

Не похоже на шелл, но похоже на тест исполнения. Шелл залили бы потом после проверки. А может даже и залили в другой url.

Вам самим стоит проверить как настроен сервер и исполняет ли этот код:

Снова создайте такой же файл png в том же каталоге с содержимым

123<?php phpinfo(); ?>

Скачайте файл качалкой по тому самому адресу. Просмотреть из браузера его очевидно не получится.

Убедитесь, что php-код внутри скачанного файла не заменился на результат выполнения php.

Убери обработку php из upload

Это вообще-то вебмастера в детском саде уже должны знать

Это шелл самый настоящий, я просто привел часть кода, если кому интересно прикрепляю его код.

Я это уже убрал, но только вчера, а заливка шелла состоялась гораздо раньше.

Может быть сис-админы? :)

Советую прочитать: http://habrahabr.ru/blogs/sysadm/100961/

У вас скорее всего то же самое.

Но есть довольно много способов неправильно настроить вебсервер. Лучше проверить на практике.

Кстати, попробуйте на короткое время эту настройку включить. Разве не интересно узнать, удалось ли им запустить шелл ?

Если открывать через браузер, выдает:

Если скачать этот файл и просмотреть, то так и остается 123<?php phpinfo(); ?>. Но я же говорю - сейчас php там не выполняется, но тогда точно выполнялось.

Reise добавил 20.11.2011 в 23:46

интересно, так и сделаю :)

Правда сейчас как я понимаю уже надо 2 настройки: cgi.fix_pathinfo=1 в /etc/php5/fpm/php.ini и убрать отдельный локейшен uploads из конфига nginx, чтобы php там выполнялся.

Reise добавил 21.11.2011 в 00:04

Проверил. Результаты не порадовали.

Достаточно не запрещать обработку php в папке uploads - и по урлу /uploads/fotos/foto_110011.png/1.php срабатывает шелл и открывается файлменеджер.

Причем по урл-у /uploads/fotos/foto_110011.png благополучно открывается картинка.

И что интересно, это никак не зависит от настройки cgi.fix_pathinfo.

П.С. Вот блеать хакеры - руки отрывал бы за такое...

Reise добавил 21.11.2011 в 00:09

Спасибо, уже читаю.

У меня в еррор логах и не такое есть, по интернету ходят боты, которые сканирует сервера на наличие определенных движков, потом видимо массово используя уязвимость пропатчивают сайты своим кодом и гребут трафик, в то время как вебмастер даже не догадывается что что-то изменилось на сайте. Кошмар короче.

У вас логе написан запрос к файлу 1.php, посмотрите у вас есть такой скрипт на сайте? Возможно все-таки стоит немного покопаться, может быть действительно что-то там происходит у вас.

/uploads/fotos/foto_107953.jpg/.php

Если вы действительно используете nginx кажется кто-то пытается использовать уязвимость связанную с настройкой этого вебсервера в связке с пхп.

Вот ссылка на статью, в которой кажется ваш случай http://habrahabr.ru/blogs/sysadm/100961/

Извиняюсь, не заметил что выше уже кто-то кинул ссылку.

Вы знаете, на этом сервере действительно падает постепенно траф практически на всех сайтах. Причину установить не могу, тем более позиции на месте. С вами можно как-то связаться, может у вас есть какие-то подходы к обнаружению сабжа. За помощь естественно готов заплатить.

сейчас там его нет, но не факт что был раньше и его уже удалили. Да и вообще при таком раскладе отлично срабатывал шелл вшитый в картинку - я проверял, так что другого скрипта и не надо.

Да, советы прочитал, подправил конфиги. Но конечно гарантии нет, что если уязвимость уже используется, какие-то манипуляции ее перекроют.

Reise добавил 21.11.2011 в 03:40

Вот еще интересная последовательность запросов:

Обратите внимание на размер ответа - каждый раз разный, чтобы это значило?

При это к картинке foto_107953.jpg дописан код:

Нет

Сисадмины должны знать как настроить сервер чтоб у таких вот горе вебмастеров его не порутали