Фактически разрешается пользоватся всеми php возможностями шела с правами пользоваеля. Если ПО не было бы дырявое, может быть это и не так проблематично, но когда есть возможность полуить root права, оставлять все возможности пhp лучше не надо.
В общих чертах, делов наделал араб тучу, около шести часов выгребал. Непонятен до конца механизм как они получают root права, но есть как есть. Статистика такая, что все взломанные серера были с php.ini >> disable_functions =
Новый взлом впс клиента, оставляет реквизит "Hасkеd Bу АLАJMAN Hacker" (кое какие буквы кирилицой я написал, чтоб не распространять)
Оставляет это [server11.mp 3q ur an.net/shatri/00 9.mp3] (пробелы только уберите) произведение, похоже на какой то обряд....
P.S. Работает полуручным режимом после овладения сервера, запускает подготовленный перл скрипт, логи стёрты.
Это Intergenia AG? Наверно шутите или возможно им просто на данный момент очень стало туго с клиентурой ;)
Могу только посоветовать быть внимательней. Чтобы воспользоватся кроном, надо иметь доступ к серверу. Чтобы залить шел, достаточно найти любую форму для закачки файла на сервер. Это может быть любой аттачмент к тикету или какой нибудь другой способ для закачки файла. Теперь таких возможностей на своих сайтах клиенты оставляют много. Дальше надо знать куда конкретный скрипт этот файл заливает, меняет ли название и так далее. А иногда клиенты разрешают листинг файлов в папках, так как им это удобней. Если php не урезанная, то дальнейший сценарий предугадать несложно. И только не надо сказок о супер серверах и супер php скриптах, в которых програмист не оставил уязвимостей....
Это зависит от задачи. В этом случае тот скрипт который предложил на много удобней. Для блокировки трафика с ненужных стран хватит двух минут. Если есть желание для обновления можно засунуть скрипт в кронтаб. А настроить геоип займёт точно больше времени. Есть и другие причины, почему такой простой вариант удобней, к примеру если на сервере используется какой нибудь firewall. Собрав IP достаточно будет занести в список и делов то....
У меня в последнее время только с SA и практически с DSL.
Есть и другие варианты, к сожелению...
500 сотая скорее всего вылезла потому, что сменили тариф на слабее. Если тестировали на самом мощном тарифе, то не надо удивлятся что переход на меньший тариф не будет проблемным. В логах Вы сами должны видеть причину ошибки и это не дело поддержки решать такие проблемы.
Квалифицированный персонал обычно работают только в рабочее время, а ночью это только самый низкий уровень поддержки.
Не всё что красиво грамотно. Пример блондинки ;)
.htaccess требует много ресурсов, он блокирует только доступ к апачу. Какой смысл дать повод идиотам видет рабочий ип серера или стучать по портам?
Как всегда банально - безопасность на хостинговом сервере, это компромис между безопасностью и требованию клиентов.
Нужные функции для всех сайтов надо прописать в глобальном php.ini, кое что можно поправить с помощью .htaccess.
Пока видел только попытки с Саудовской Аравии. Так что временно можно просто блокировать доступ с этого края света. Китай тоже в пользу. Скрипт в атачменте, chmod 555 и запустить.
Правила безопасности по любому надо с клиентами согласовать, так что тупая блокировка поможет пережить какое то время ;)
Я просто вписал чуть больше, чтобы оградить себя от такой неприятности и это никакое моё решение. Каждый может решать по своему, я только обращаю внимание.
Тот сервер которого взломали, это сервер с suPHP и там можно клиентам давать хоть ssh доступ, пофиг по барабану, они и так ничего не получит и не укусит. Именно на этот серере проблема скорее всего была глубже и вина стороннего сервера и софта, на котором лежить ключь доступа.
Это и коню понятно. Года три - четыре тому назад давал Вашему величеству доступ до аналогичного сервера (ssh в том числе, так как тоже доказывали что взломаете за три минуты), чтоб ломанули его, но как то не укусили. А вот арабы ломанули ;)
Не надо быть таким самоуверенным ув. Andreyka, мы тоже хоть и не с Одессы, но не совсем глупые ;)
P.S. Я написал чётко, что хочу информировать других, чтоб были осторожны, возможно кто то ещё поделится опытом по конкретному вопросу. А такие суппер пупер админы прошу проходить мимо, я лично вижу вашей работы больше чем вы желаете, так что успокойтесь и не заставляйте высказыватся ;)
