Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 19.11.2010, 21:55   #11
pupseg
Академик
 
Аватар для pupseg
 
Регистрация: 14.05.2010
Сообщений: 3,680
Репутация: 515397
Отправить сообщение для pupseg с помощью ICQ Отправить сообщение для pupseg с помощью Skype™

По умолчанию Re: aloha чё за звер? нужны ваши мысли.

в общем, кому интересно , как победил я - пешите в личку, дабы не раздувать срачь..
мои мнения - как оно проникло,как оставалось в системе,как проникало даже после смены паролей и т д - они - чисто субъективны... я не претендую на правоту, мегамозгов здесь много. Одно осталось фактом -на одной тестовой машине я эту пежню не гасил, и присмотрел за ней.... повторюсь, не претендую на 100% правоту, но хрен его знает....

ТС, проверьте в /var/tmp /tmp /dev/shm нет ли файлика с +х под названием .as ?
pupseg на форуме   Ответить с цитированием

Реклама
Старый 19.11.2010, 23:26   #12
Andreyka
Настройщик серверов
 
Аватар для Andreyka
 
Регистрация: 19.02.2005
Адрес: Odessa
Сообщений: 12,723
Репутация: 391399
Отправить сообщение для Andreyka с помощью ICQ Отправить сообщение для Andreyka с помощью AIM Отправить сообщение для Andreyka с помощью MSN Отправить сообщение для Andreyka с помощью Yahoo Отправить сообщение для Andreyka с помощью Skype™ Send Message via Jabber to Andreyka
Социальные сети Профиль на Хабрахабре

По умолчанию Re: aloha чё за звер? нужны ваши мысли.

Для того, чтоб такие штуки не появлялись - надо запрещать исполнение в директориях для upload/временных файлов и пользовательских хоумах.
__________________
Взлом шифрованной файловой системы LUKS - реальность!
Andreyka вне форума   Ответить с цитированием
Старый 19.11.2010, 23:35   #13
pupseg
Академик
 
Аватар для pupseg
 
Регистрация: 14.05.2010
Сообщений: 3,680
Репутация: 515397
Отправить сообщение для pupseg с помощью ICQ Отправить сообщение для pupseg с помощью Skype™

По умолчанию Re: aloha чё за звер? нужны ваши мысли.

Цитата:
Сообщение от Andreyka Посмотреть сообщение
Для того, чтоб такие штуки не появлялись - надо запрещать исполнение в директориях для upload/временных файлов и пользовательских хоумах.
да банально tmp монтировать нужно с noexec )))
pupseg на форуме   Ответить с цитированием
Старый 20.11.2010, 11:22   #14
Zaqwr
It'шник
 
Аватар для Zaqwr
 
Регистрация: 08.08.2007
Адрес: Зеленодырск
Сообщений: 1,092
Репутация: 21435

По умолчанию Re: aloha чё за звер? нужны ваши мысли.

Цитата:
Сообщение от pupseg
да банально tmp монтировать нужно с noexec )))
толку от этого не будет, к примеру perl запустится так
/usr/bin/perl /tmp/file.pl
noexec запретит выполнение бинарных файлов.
__________________
Администрирование, Linux, Cisco, Juniper
Zaqwr вне форума   Ответить с цитированием
Старый 20.11.2010, 11:48   #15
madoff
[root@local ~]#
 
Регистрация: 02.12.2009
Адрес: world
Сообщений: 3,122
Репутация: 121254
Отправить сообщение для madoff с помощью ICQ Отправить сообщение для madoff с помощью Skype™

ТопикСтартер Ответ: aloha чё за звер? нужны ваши мысли.

Нужно просто ограничить работу только в своём каталоге php-cgi и всё.
Выход за пределы каталога с правами апача это в полне нормальная ситуация, я имею в виду mod_php как апачи, и стандартная настройка php.
Да существуют ограничение, Open base dir, safe mode, suhosim, mod_security. но конечно лучшая защита это не позволять ставить или делать дырявые скрипты.
__________________
Администратор Linux,Freebsd.
построения крупных проектов.
ICQ#: 241606.
madoff вне форума   Ответить с цитированием
Старый 21.11.2010, 11:08   #16
Продюсер
Ищу себя
 
Аватар для Продюсер
 
Регистрация: 09.11.2010
Адрес: /var
Сообщений: 96
Репутация: 6996

По умолчанию Ответ: aloha чё за звер? нужны ваши мысли.

Цитата:
Здравствуйте.

На Вашем VPS сервере, в настоящий момент, очередной раз исполняется вредоносный код, наши инженеры постараются определить источник проблемы, если это будет невозможно работу VPS сервера придется остановить до особых разбирательств.


18671 apache 20 0 89112 6780 3084 S 7.1 0.4 0:05.26 python svwar.py -v -d users.txt 61.8.96.218
18831 apache 20 0 89108 6776 3084 R 7.1 0.4 0:01.19 python svwar.py -v -e100-9999 61.8.140.174
18669 apache 20 0 89108 6780 3084 S 5.3 0.4 0:05.38 python svwar.py -v -e100-9999 61.8.96.218
18675 apache 20 0 89112 6780 3084 S 5.3 0.4 0:04.94 python svwar.py -v -d users.txt 61.8.96.219
18793 apache 20 0 89108 6776 3084 S 5.3 0.4 0:01.24 python svwar.py -v -e100-9999 61.8.138.48
18799 apache 20 0 89112 6772 3084 S 5.3 0.4 0:01.17 python svwar.py -v -d users.txt 61.8.138.49
18801 apache 20 0 89108 6776 3084 S 5.3 0.4 0:01.24 python svwar.py -v -e100-9999 61.8.138.51
18803 apache 20 0 89112 6772 3084 S 5.3 0.4 0:01.15 python svwar.py -v -d users.txt 61.8.138.51
18819 apache 20 0 89108 6780 3084 S 5.3 0.4 0:00.97 python svwar.py -v -e100-9999 61.8.140.145
18827 apache 20 0 89108 6772 3084 S 5.3 0.4 0:00.97 python svwar.py -v -e100-9999 61.8.140.151
18835 apache 20 0 89108 6776 3084 S 5.3 0.4 0:00.83 python svwar.py -v -e100-9999 61.8.140.213
18895 apache 20 0 89108 6776 3084 S 5.3 0.4 0:00.74 python svwar.py -v -e100-9999 61.8.142.226
18911 apache 20 0 89108 6776 3084 S 5.3 0.4 0:00.72 python svwar.py -v -e100-9999 61.8.142.232
18977 apache 20 0 89108 6776 3084 S 5.3 0.4 0:00.44 python svwar.py -v -e100-9999 61.8.148.43
30227 apache 20 0 95300 9280 3512 S 5.3 0.6 2:18.27 python ./svmap.py 61.0.0.0/8 -v
17901 apache 20 0 91176 6800 3096 S 3.6 0.4 0:06.83 python svcrack.py -v -d parole.txt 61.7.155.138 -u 6007
17905 apache 20 0 91176 6796 3096 S 3.6 0.4 0:06.94 python svcrack.py -v -d parole.txt 61.7.155.143 -u 6004
17931 apache 20 0 91176 6788 3096 S 3.6 0.4 0:06.59 python svcrack.py -v -d parole.txt 61.7.155.138 -u 6007
17937 apache 20 0 91176 6796 3096 S 3.6 0.4 0:06.60 python svcrack.py -v -d parole.txt 61.7.151.50 -u 2269
17950 apache 20 0 91176 6792 3096 R 3.6 0.4 0:06.41 python svcrack.py -v -d parole.txt 61.7.151.50 -u 0131
18411 apache 20 0 91176 6796 3096 R 3.6 0.4 0:04.62 python svcrack.py -v -d parole.txt 61.7.253.218 -u 6006
18412 apache 20 0 91176 6792 3096 S 3.6 0.4 0:04.65 python svcrack.py -v -d parole.txt 61.7.235.219 -u 5002
18479 apache 20 0 91176 6796 3096 S 3.6 0.4 0:04.07 python svcrack.py -v -d parole.txt 61.7.235.219 -u 5002
18522 apache 20 0 91176 6796 3096 S 3.6 0.4 0:04.14 python svcrack.py -v -d parole.txt 61.7.253.218 -u 6006
18744 apache 20 0 89112 6776 3084 S 3.6 0.4 0:01.36 python svwar.py -v -d users.txt 61.8.125.147
18795 apache 20 0 89112 6776 3084 S 3.6 0.4 0:01.17 python svwar.py -v -d users.txt 61.8.138.48
18797 apache 20 0 89108 6776 3084 S 3.6 0.4 0:01.23 python svwar.py -v -e100-9999 61.8.138.49
18815 apache 20 0 89108 6776 3084 S 3.6 0.4 0:00.98 python svwar.py -v -e100-9999 61.8.140.144
18821 apache 20 0 89112 6776 3084 S 3.6 0.4 0:00.91 python svwar.py -v -d users.txt 61.8.140.145
18823 apache 20 0 89108 6776 3084 R 3.6 0.4 0:00.84 python svwar.py -v -e100-9999 61.8.140.150
18825 apache 20 0 89112 6780 3084 S 3.6 0.4 0:00.78 python svwar.py -v -d users.txt 61.8.140.150
18829 apache 20 0 89112 6776 3084 S 3.6 0.4 0:00.88 python svwar.py -v -d users.txt 61.8.140.151
18833 apache 20 0 89112 6772 3084 S 3.6 0.4 0:01.11 python svwar.py -v -d users.txt 61.8.140.174
18837 apache 20 0 89112 6772 3084 R 3.6 0.4 0:00.78 python svwar.py -v -d users.txt 61.8.140.213
18859 apache 20 0 89108 6772 3084 S 3.6 0.4 0:00.73 python svwar.py -v -e100-9999 61.8.142.163
18861 apache 20 0 89112 6780 3084 S 3.6 0.4 0:00.70 python svwar.py -v -d users.txt 61.8.142.163
18867 apache 20 0 89108 6776 3084 S 3.6 0.4 0:00.75 python svwar.py -v -e100-9999 61.8.142.164
18869 apache 20 0 89112 6776 3084 S 3.6 0.4 0:00.68 python svwar.py -v -d users.txt 61.8.142.164
Ох, все перепробовал, уже и php как cgi и tmp все в одной папке и все равно заливается эта ботва.
ТС, не помог ты мне, будем ковырять дальше.
Может кто еще поможет?
Продюсер вне форума   Ответить с цитированием
Старый 21.11.2010, 12:15   #17
r0mik
Кандидат наук
 
Регистрация: 14.02.2010
Сообщений: 309
Репутация: 13814
Отправить сообщение для r0mik с помощью ICQ Send Message via Jabber to r0mik

По умолчанию Ответ: aloha чё за звер? нужны ваши мысли.

ну так пускай инженеры и определяют. мы тут чем поможем без доступа и даже информации как таковой?
в особо-сложных случаях можно поставить xdebug и врубить трассировку, потом смотреть откуда оно вылезло....
r0mik вне форума   Ответить с цитированием
Старый 21.11.2010, 12:24   #18
Продюсер
Ищу себя
 
Аватар для Продюсер
 
Регистрация: 09.11.2010
Адрес: /var
Сообщений: 96
Репутация: 6996

По умолчанию Ответ: aloha чё за звер? нужны ваши мысли.

Хостер постоянно говорит, что не занимается администрирование vps, что это мои проблемы.
Спасибо за ответ, надо пробовать.
Продюсер вне форума   Ответить с цитированием
Старый 21.11.2010, 13:03   #19
pupseg
Академик
 
Аватар для pupseg
 
Регистрация: 14.05.2010
Сообщений: 3,680
Репутация: 515397
Отправить сообщение для pupseg с помощью ICQ Отправить сообщение для pupseg с помощью Skype™

По умолчанию Re: Ответ: aloha чё за звер? нужны ваши мысли.

Цитата:
Сообщение от Продюсер Посмотреть сообщение
Ох, все перепробовал, уже и php как cgi и tmp все в одной папке и все равно заливается эта ботва.
ТС, не помог ты мне, будем ковырять дальше.
Может кто еще поможет?
сталкивался. читайте мои посты. знаю как попадает в ОС, знаю как работает.
pupseg на форуме   Ответить с цитированием
Старый 19.01.2011, 15:21   #20
zalexseo
Аспирант
 
Регистрация: 22.12.2007
Сообщений: 243
Репутация: 7747

По умолчанию Re: Ответ: aloha чё за звер? нужны ваши мысли.

Цитата:
Сообщение от pupseg Посмотреть сообщение
сталкивался. читайте мои посты. знаю как попадает в ОС, знаю как работает.
попался на то же самое.
было бы намного полезнее если бы вы описали как проникает и как бороться прямо тут в теме, т.к. многие находят этот топик в инете, вон даже иностранец пришел.

возникло на одном из серверов что вы помогли настроить
zalexseo вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны