Спам с сервера

12
chemax
На сайте с 07.01.2009
Offline
197
2080

Добрый день.

На сервере стоит Ubuntu 12. Недавно были залиты несколько сайтов на WP и жумле, за что и поплатились. Теперь на остальных сайтах стали появляться php файлы которые рассылают спам через exim. Заразились куча сайтов, при том, что каждый сайт в ISP лежит в отдельной директории у отдельного пользователя. Подскажите, как запретить пользователям создавать файлы в директориях других пользователей? Как вообще бороться с этой всей фигней?

Качественный хостинг, VPS и сервера. (http://ihc.ru/?ref=569)
K5
На сайте с 21.07.2010
Offline
209
#1
лежит в отдельной директории у отдельного пользователя

это не главное, важнее от чьего имени обрабатываются php скрипты

бороться с этой всей фигней

корректно настроить сервер

P.S. возможно рут-пароль увели и подсадили какой нибудь левый процесс в систему - опять же зависит от ваших знаний и корректности настроек сервера.

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
chemax
На сайте с 07.01.2009
Offline
197
#2
kgtu5:
это не главное, важнее от чьего имени обрабатываются php скрипты

корректно настроить сервер

P.S. возможно рут-пароль увели и подсадили какой нибудь левый процесс в систему - опять же зависит от ваших знаний и корректности настроек сервера.

Владельцем левых файлов стоит proftpd. Вроде разобрался, версия 1.3.4а

unreturned
На сайте с 20.03.2013
Offline
57
#3
chemax:
Владельцем левых файлов стоит proftpd. Вроде разобрался, версия 1.3.4а

Да, в Ubuntu 12.04 / 14.04 проблему с mod_copy до сих пор не починили http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-3306.html

Лечение:

sed -i 's|LoadModule mod_copy.c|#LoadModule mod_copy.c|g' /etc/proftpd/modules.conf

service proftpd restart

Однако если proftpd смог записать Вам что-то в директории сайтов, значит у Вас стоят крайне не безопасные права 777. Избавляйтесь от них.

chemax
На сайте с 07.01.2009
Offline
197
#4
unreturned:
Да, в Ubuntu 12.04 / 14.04 проблему с mod_copy до сих пор не починили http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-3306.html

Лечение:
sed -i 's|LoadModule mod_copy.c|#LoadModule mod_copy.c|g' /etc/proftpd/modules.conf

service proftpd restart


Однако если proftpd смог записать Вам что-то в директории сайтов, значит у Вас стоят крайне не безопасные права 777. Избавляйтесь от них.

Особенность cms такая, контент страницы на файлах, нужны 777 для создания и редактирования.

unreturned
На сайте с 20.03.2013
Offline
57
#5

Не видел ни одной CMS, которой бы действительно были нужны права 777.

Права 777 обычно ставятся только от полной безграмотности и неумения настраивать веб-сервер.

Z
На сайте с 06.09.2012
Offline
129
#6
unreturned:
Не видел ни одной CMS, которой бы действительно были нужны права 777.

CMS то тут причем :)

Система пользователей и групп позволяет раздавать любые права под любые задачи __никогда__ не давая доступ ни к чему для всех пользователей (последняя семерка).

Если последняя цифра прав не 0, то у вас есть проблемы.

Черный список врунов и обманщиков: ua-hosting.company, riaas.ru, takewyn.ru, yahoster/cadedic, Andreylab
SeVlad
На сайте с 03.11.2008
Offline
1474
#7
chemax:
Недавно были залиты несколько сайтов на WP и жумле, за что и поплатились

Как мне это нравиться.. "виноват кто угодно, но не я".

chemax:
Особенность cms такая, контент страницы на файлах, нужны 777 для создания и редактирования.

Движки тут абсолютно не причём:

kgtu5:
от чьего имени обрабатываются php скрипты

И куда при этом их владелец имеет доступ. И какой.

chemax:
Владельцем левых файлов стоит proftpd.

Ну дык вот жеж.

---------- Добавлено 07.12.2015 в 19:01 ----------

unreturned:
Однако если proftpd смог записать Вам что-то в директории сайтов

Почему ФТП-сервер не должен уметь писать в каталоги?

Другой вопрос - почему пхп работает от proftpd.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
unreturned
На сайте с 20.03.2013
Offline
57
#8
zzzit:
CMS то тут причем :)
Система пользователей и групп позволяет раздавать любые права под любые задачи __никогда__ не давая доступ ни к чему для всех пользователей (последняя семерка).
Если последняя цифра прав не 0, то у вас есть проблемы.

У меня последняя цифра на файлы 4 (чтение), а на директории 5 (чтение + выполнение, т.е. переход). Веб-сервер nginx у меня работает от своего пользователя nginx, а php-fpm пулы работают от пользователей. В чем у меня проблема?

SeVlad:
Почему ФТП-сервер не должен уметь писать в каталоги?

Другой вопрос - почему пхп работает от proftpd.

Нет, суть в другом. Судя по владельцам файлов, ТС похакали через http://www.opennet.ru/opennews/art.shtml?num=42015

Z
На сайте с 06.09.2012
Offline
129
#9
unreturned:
У меня последняя цифра на файлы 4 (чтение), а на директории 5 (чтение + выполнение, т.е. переход). Веб-сервер nginx у меня работает от своего пользователя nginx, а php-fpm пулы работают от пользователей. В чем у меня проблема?

С такими правами что угодно выполняемое под любым пользователем системы сможет прочитать файлы любого другого пользователя. А там могут быть пароли к БД и другая конфиденциальная информация, позволяющая взломать и навредить.

unreturned
На сайте с 20.03.2013
Offline
57
#10
zzzit:
С такими правами что угодно выполняемое под любым пользователем системы сможет прочитать файлы любого другого пользователя. А там могут быть пароли к БД и другая конфиденциальная информация, позволяющая взломать и навредить.

Ну если на все выше стоящие каталоги также будет разрешено всем ходить, то да, в таком варианте Ваше утверждение будет справедливо.

А так стандартная схема простая, есть пользователи, которые добавлены в группу users и домашний каталог пользователя имеет права 701

sudo ls -all /home/

total 12
drwxr-xr-x 3 root root 4096 марта 13 2015 .
drwxr-xr-x 23 root root 4096 дек. 6 23:46 ..
drwx-----x 30 support users 4096 дек. 8 00:04 support
drwx-----x 30 user1 users 4096 дек. 8 00:04 user1

И все, никаких проблем.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий