- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Недавно на сайт залили шелл. Ошибку в коде обнаружили и устранили.
Но хакер продолжает вносить всякие iframe и script в базу mysql
Возможность инъекций через скрипты исключили фильтром и логированием всех переменных POST GET запросов
В кодах левых скриптов не нашли. Запуск php дали только нужным директориям.
Есть предположение что заражение перешло на систему.
yum умер - дополнительное подозрение на внутрисистемный вирус.
На сервере стоит ОС CentOS 5.6 nginx 1.1.1, php 5.3.14 в режиме CGI, memcached, mysql 5.5.13, postfix, dovecot
Закрыли все порты, доступ к FTP и SSH только для отдельных IP - на этих компах стоит Avira. Поставили и запустили clamVA - ничего не нашёл, кроме пары заражённых email в почтовике.
Уже шесть часов взломщик себя не проявляет,хотя и в логах ничего нет.
Так вот встаёт вопрос. Возможно мы и закрылись от угрозы, но поскольку ClamAV ничего не нашёл, возможно имеет смысл проверить систему другим антивирусом? Dr.Web или Kasper я готов оплатить лицензию на один из них. Посоветуйте какой лучше.
Как по мне касперский лучше, веб не нашел помню многое, что нашел каспер
а что вам даст унтивирус если вам шелы заливают )))) ? ВЫ разобрались как это происходит? А то вам антивирус не поможет даже самый мега навороченный за мильен баксов ..... будете потом страдать еще больше :D
Шелы заливают получив доступ.... начните думать отсюда, у злоумышленника "естб доступ", я думаю ему до одного места антивирь будет ваш если где-то дырка.
Ошибку в коде обнаружили и устранили.
Но хакер продолжает вносить всякие iframe и script в базу mysql
Вывод же очевиден - не устранили ДЫРУ (появившуюся или имевшуюся)!
rengen, я полностью согласен со словами выше от Romka_Kharkov.
В помощь скрипт и анализ логов (разобраться каким образом "хакер продолжает вносить..").
На все CentOS ставить Kasper. Иначе опасносте.
Ну а по теме. Вам надо настроить свой вебсервер таким образом, чтобы даже если был залит шел, злоумышленник не мог получить полный доступ к серверу. И конечно посмотреть логи и закрыть уязвимость, через которую заливают.
Чтобы понять как шелл попадает на сайт, его сначала надо обнаружить. Сайт не маленький и посещаемость не слабая, я расчитывал что антивирус поможет обнаружить заразу, а оттуда уже и логи высматривать и прочее.
SeVlad
Спасибо, поковыряю скрипт
Чтобы понять как шелл попадает на сайт, его сначала надо обнаружить. Сайт не маленький и посещаемость не слабая, я расчитывал что антивирус поможет обнаружить заразу, а оттуда уже и логи высматривать и прочее.
SeVlad
Спасибо, поковыряю скрипт
Искать можно по словам "shell_exec", "base64" и т.д. во всех файлах вашего сайта.
Искать можно по словам "shell_exec", "base64" и т.д. во всех файлах вашего сайта.
Об этом догадались :)
Но это не помогло. Оказывается он загружает шелл, делает каку и удаляет шелл. В логах обнаружили запросы к этим шелам, но пока не понятно как они попадают на сервер.
Сначала стоит проверить, а не порутан ли сервер вообще
Сначала стоит проверить, а не порутан ли сервер вообще
Андрейка :))) +1 однозначно, но я вот сейчас со смехом это воспринял )))
P.S: надо еще глянуть а ваш ли это сервер еще ? Может быть вы уже с вашим сайтом из chroot работаете :) ?
Я рассматриваю эту атаку как возможность залатать дыры в безопасности и чему-то научиться. Благо сайт продолжал работать всё это время - хакер попался пассивный :) Если надумает запустить сайт на моих скриптах - не поленюсь написать в отдел К ФСБ.
Возможность рут доступа была рассмотрена, сканирование списка пользователей результатов не дало. Закрыли все лишние порты, доступ к SSH был дан только двум IP адресам.
Сейчас наблюдаю в логах как хакер лазит по сайту, пингует свои шелы, доступ к которым заблокирован, но ничего на сайте не меняется, видимо проблема решена. Пока он не нашёл другой дырки...
На днях хочу переставить ОСь.