Запрет на создание файлов php в папке

alepavlenko, права доступа на папку ☝

Сейчас права 755 но как то у них получается создать php файл...

alepavlenko, так сделайте 555. При типичной эксплуатации уязвимости файлы создаются не извне, а уязвимыми скриптами самого сайта.

С этим делом много нюансов, но вы просто сделайте и может все заработает как вам надо.

Дырку, конечно, надо искать. Но тут все зависит от ценности сайта.

alepavlenko, уточните, пожалуйста, у кого "у них" ?

Попробую сделать как Вы посоветовали, оставлю только для папок которые использует сам Magento.

Сайт очень важен, они "хз кто это но по логам кто то из Meknes, Morocco" сначала создают zip архив в папке потом его распаковывают. Спамят, ночью отправили 400 писем. А заметил я их через

find . -type f -name '*.php' -mtime -7 но вот нагуглил что дату создания файла они могут изменить.

aibolit толком ничего не находит, Вредоносных скриптов 99 😮 но там стандартные файли magento либо картинки.

Сейчас установил fail2ban и ограничение на отправку писем 5 в час. Теперь гуглю как закрыть доступ со всех стран кроме одной 😕 может отстанут...

---------- Добавлено 28.01.2016 в 15:53 ----------

В логах из подозрительного нашёл только (compatible; seoscanners.net/1; +spider@seoscanners.net)

/catalog/product_compare/add/product/1873/uenc/aHR0cDovL3d3dy5xdWF0cm9zdHlsZS5kZS9kYW1lbnRhc2NoZW4tMzAvZ2l1bGlhLXBpZXJhbGxpL2RhbWVudGFzY2hlbi5odG1sP2FtcCUzQm9yZGVyPW5hbWUmYW1wO2NvbG9yPTcmYW1wO2Rpcj1hc2M,/

aHR0cDovL3d3dy5xdWF0cm9zdHlsZS5kZS9kYW1lbnRhc2NoZW4tMzAvZ2l1bGlhLXBpZXJhbGxpL2RhbWVudGFzY2hlbi5odG1sP2FtcCUzQm9yZGVyPW5hbWUmYW1wO2NvbG9yPTcmYW1wO2Rpcj1hc2M,/ я так понял это base64

запретите выполнение php скриптов в папке, куда можно загружать

хмм, как я понял используется движек магенто, то в нем недавно нашли уязвимость.

http://www.opennet.ru/opennews/art.shtml?num=43759

Ну ведь "они" знают что там magento и в них и зальют файлы.

Так и есть. Поэтому нужно использовать -ctime .

Я бы вот какую практичную хитрость порекомендую :

Сильно уменьшите интервал сканирования. Запускайте из cron точно каждый час:

find ./ -cmin -60 \( -name '*.php' -o -name '*.js' \) -printf "%T+ %p\n"

Это покажет время появление файла с точностью аж до миллисекунд .

После появления нужно сопоставить точное время с запросами в access.log .

При хорошей точности, даже для больших сайтов несложно найти какой именно запрос привел к заливке шелла и дальше уже осмыслить как и почему происходит взлом. Разумеется, для этого нужно немного программировать. И предполагается, что вы явные шеллы зачистили, а потом приступили к поиску уязвимости или закладки, которую антивирус не берет.

К сожалению, и эта техника легко обходится, но догадаются или нет - еще вопрос. По крайней мере, мне удавалось не одну неочевидную дыру так закрыть в совершенно незнакомых сайтах.