1. Вы так и не ответили на мой вопрос: вы запускали скрипт и архивацию от разных пользователей?
2. Вы смотрели в отчете блок, в котором пишутся директории и файлы, которые не удалось прочитать или проверить?
Пока так. А то придется усложнять скрипт.
Cкрипт от какого пользователя запускаете? И от какого пользователя папки сжимаете?
Нет. Если он создаст директорию (или его плагин), то сразу будет rwx. А так, чтобы самовольничать - нет.
Запускайте из командной строки.---------- Добавлено 07.11.2012 в 16:19 ----------Нашел одну ошибку в скрипте - неправильно размеры файлов и время бралось, поправил и загрузил новый архив. Кто качал - возьмите новую. Спасибо.
http://revisium.com/ai/
Ну да, внешняя, речь-то изначально про это была. Исходный посыл был такой:
Ну тут или сапа, или сайт :-)
Кстати, придумалась вот хитрая такая схема (если хостинг позволяет). Настроить запуск скрипта, выгребающего ссылки сапы по крону, причем настроить в .htaccess, чтобы он выполнялся другим php интерпретатором, из под php-cgi. В настройках этого php-cgi в php.ini разрешить внешний коннект. А сам сайт путь работает на PHP как модуль Apache Handler, у него надо "затянуть болты". У вас и ссылки будут, и наружу никто слать запросы не будет.
То, что "влезает", обычно детектится айболитом. Обычно, это обфусцированный код в .php файлах - в самом начале или в самом конце (бывает, по сотне файлов к ряду заражено): код проверяет наличие редиректов в .htaccess и, если нет, добавляет свой редирект.
Попробуйте сделать следующее:
1. закрыть доступ к админке через .htaccess (только для своего IP разрешать)
2. закройте в корневом .htaccess доступ к скриптам из wp-content, wp-include, чтобы нельзя было напрямую обращаться
3. попросите саппорт прописать настройки php
allow_url_fopen = Off
allow_url_include = Off
expose_php = Off
magic_quotes_gpc = On
register_globals = Off
disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,ini_set,putenv, extension_loaded,getmyuid, fsockopen,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,chdir, pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate
safe_mode = On
4. Еще раз обновите CMS и плагины (самые свежие версии)
5. попросите саппорт поставить срок ротации логов - 1 месяц, чтобы насобирать статистику
Думаю, после первых четырех пунктов вероятность взлома значительно уменьшится.
Но надо сделать все это быстро, одно за другим в течение нескольких часов.
С анализом логов обращайтесь если что в личку или на email.
Одно из четырех:
1. не все вычистили из кода (если изменения внесены непосредственно в движок, типа минишелла какого-нибудь, вида @eval($_GET['p']) или того же самого, но завуалированного в array_map() или preg_replace_callback(), или sort() - миллион вариантов.
2. не все дыры закрыли в движке, плагинах или темах (не факт, что закрыв все публичные уязвимости, к вам не заходят с черного хода, про который публика не знает)
3. если у вас VDS/VPS/дедик, то могли рутануть сервер
4. кривые настройки сервера на хостинге (например, версия php-cgi с уязвимостью)
Новая версия AI-BOLIT. Изменение в версии 20121106:
- новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
- автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
- поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
- исправлен Warning с ereg()
Качать отсюда: http://revisium.com/ai/
Рекомендую перепроверить ваши сайты новой версией AI-BOLIT с запуском из командной строки (через SSH).
Пользуясь случаем - анонсирую новый сервис для проверки серверного мобильного редиректа: http://zorrobot.ru/tool/ (сервис будет по мере возможности расширяться, и еще, наверное, проверять вирусы и т.п.)
Если есть конкретные вопросы, вы можете написать на email, указанный в отчете. Там справа в углу такая красная табличка с текстом и ссылкой на контакты.
