Вместе пробуем проанализировать файлы журнала сайта после его взлома.

Мой сайт взломали. :mad:

Я определил заразу с помощью скрипта ай-болит, почистил сайт, но не до конца: остались какие-то куски на нескольких файлах.

Сейчас в папках появились снова посторонние файлы.

Так что на этот раз хочу подойти к этой процедуре основательно, перелапатил интернет, кое-чего усвоил, но больно тема не простая.

Поэтому хотелось бы помощи знатоков.

Смотрю папку logs.

В папке у меня помимо файлов со статистикой имеются:

1. Только три файла eror_log за последние три дня (а почему так мало?). В каждом файле имеется в каждый день более сотни подобных записей с разных адресов:

[Mon Feb 18 07:29:23 2013] [error] [client 188.44.121.244] File does not exist: /u/wusers/technmach/htdocs/undefined

[Mon Feb 18 07:29:23 2013] [error] [client 188.44.121.244] File does not exist: /u/wusers/technmach/htdocs/favicon.ico

И несколько записей с с другими хвостами:

[Mon Feb 18 06:51:21 2013] [error] [client 213.87.140.2] File does not exist: /u/wusers/technmach/htdocs/apple-touch-icon-precomposed.png

[Mon Feb 18 06:51:21 2013] [error] [client 213.87.140.2] File does not exist: /u/wusers/technmach/htdocs/apple-touch-icon.png

2. файлы ref_№ с огромным количеством ссылок на разные сайты,

например:

11 0.03% <A HREF="https://www.google.ru/">https://www.google.ru/</A>

10 0.03% <A HREF="http://www.vseshmotki.com/">http://www.vseshmotki.com/</A>

9 0.03% <A HREF="http://metall-gifts.ru/">http://metall-gifts.ru/</A>

3. файлы search_№ с огромным количеством строк, в которых вместо букв какие-то карабазяки;

4. файлы php- eror_log тоже только за три дня. Файлы имеют разные записи.

К примеру:

18-Feb-2013

[18-Feb-2013 15:26:29] PHP Warning: require_once(./libraries/Table.class.php) [<a href='function.require-once'>function.require-once</a>]: failed to open stream: No such file or directory in /htdocs/mysqladmin/libraries/common.lib.php on line 447

[18-Feb-2013 15:26:29] PHP Fatal error: require_once() [<a href='function.require'>function.require</a>]: Failed opening required './libraries/Table.class.php' (include_path='.:/usr/local/lib/php') in /htdocs/mysqladmin/libraries/common.lib.php on line 447

[18-Feb-2013 15:26:30] PHP Warning: require_once(./libraries/Table.class.php) [<a href='function.require-once'>function.require-once</a>]: failed to open stream: No such file or directory in /htdocs/mysqladmin/libraries/common.lib.php on line 447

[18-Feb-2013 15:26:30] PHP Fatal error: require_once() [<a href='function.require'>function.require</a>]: Failed opening required './libraries/Table.class.php' (include_path='.:/usr/local/lib/php') in /htdocs/mysqladmin/libraries/common.lib.php on line 447

19-Feb-2013

[19-Feb-2013 20:17:58] PHP Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /htdocs/article.php on line 182

[19-Feb-2013 20:17:58] PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /htdocs/article.php on line 183

[19-Feb-2013 20:17:58] PHP Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /htdocs/article.php on line 188

21-Feb-2013

[21-Feb-2013 09:56:27] PHP Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /htdocs/article.php on line 164

[21-Feb-2013 09:56:27] PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /htdocs/article.php on line 165

[21-Feb-2013 09:56:27] PHP Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /htdocs/article.php on line 170

[21-Feb-2013 09:56:27] PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /htdocs/article.php on line 171

5. Один файл webalizer.current содержит ссылки на хакерские файлы admin.php и view.php:

/mysqladmin/admin.php

189.238.137.132

0 12 12 656 6 1360889783

/de/view.php

41.254.8.11

или просто галиматью:

http://yandex.ru/yandsearch?text=аОаБаОб€бƒаДаОаВаАаНаИаЕ аДаЛб аНаАб€аЕаЗаКаИ аМббаА&clid=9403&lr=18&rstr=-18

0 1

http://www.technmach.ru/simplepattern-toinclude-article-id5-413.htm

1 166

http://yandex.by/yandsearch?p=2&rdrnd=22021&text=аМаАбˆаИаНаА аДаЛб аНаАб‚аИб€аАаНаИб бб‹б€аА&clid=47356&lr=154&tld=by

6. Один файл webalizer.hist просто с числами:

4 2012 18077 16067 941 146562 1 30 8218 2770

5 2012 17734 14416 978 125006 1 31 8230 2597

6 2012 22276 18066 1315 136746 1 30 9042 3409

7. Файлы access.log в папке logs и других папках сайта не нашел.

Помимо этого:

1. в папке admin имеется файл WS_FTP.LOG. который содержит

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\auth.php --> www.technmach.ru /htdocs/admin auth.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\catalog.php --> www.technmach.ru /htdocs/admin catalog.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\config.php --> www.technmach.ru /htdocs/admin config.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\index.php --> www.technmach.ru /htdocs/admin index.php

2. в папке /admin/catalog имеется файл WS_FTP.LOG, который содержит

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\catalog\function.php --> www.technmach.ru /htdocs/admin/catalog function.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\catalog\level_action.php --> www.technmach.ru /htdocs/admin/catalog level_action.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\catalog\level_add.php --> www.technmach.ru /htdocs/admin/catalog level_add.php

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\admin\catalog\level_edit.php --> www.technmach.ru /htdocs/admin/catalog level_edit.php

3. в папке /images/admin имеется файл WS_FTP.LOG, который содержит

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\admin\del.gif --> www.technmach.ru /htdocs/images/admin del.gif

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\admin\edit.gif --> www.technmach.ru /htdocs/images/admin edit.gif

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\admin\import.gif --> www.technmach.ru /htdocs/images/admin import.gif

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\admin\new2.gif --> www.technmach.ru /htdocs/images/admin new2.gif

4. в папке /images/info/catalog имеется файл WS_FTP.LOG, который содержит

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\00007.jpg --> www.technmach.ru /htdocs/images/info/catalog 00007.jpg

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\excel.gif --> www.technmach.ru /htdocs/images/info/catalog excel.gif

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\factory12.jpg --> www.technmach.ru /htdocs/images/info/catalog factory12.jpg

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\pentium.jpg --> www.technmach.ru /htdocs/images/info/catalog pentium.jpg

107.07.25 22:52 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\Thumbs.db --> www.technmach.ru /htdocs/images/info/catalog Thumbs.db

107.07.25 22:53 B C:\WebServers\home\localhost\www\technmach\images\info\catalog\YER039W.JPG --> www.technmach.ru /htdocs/images/info/catalog YER039W.JPG

5. в папке /styles имеется файл WS_FTP.LOG, который содержит

107.07.25 22:57 B C:\WebServers\home\localhost\www\technmach\styles\admin.css --> www.technmach.ru /htdocs/styles admin.css

107.07.25 22:57 B C:\WebServers\home\localhost\www\technmach\styles\help.css --> www.technmach.ru /htdocs/styles help.css

107.07.25 22:57 B C:\WebServers\home\localhost\www\technmach\styles\st.css --> www.technmach.ru /htdocs/styles st.css

Я как понимаю файлы WS_FTP.LOG содержат ображения хакера к файлам. Может быть по этим обращения можно определить, где он спрятал Shell?

Прошу посоветовать какую информацию можно извлечь из всего этого.

И в итоге, что делать с этим добром?