Вчера 15-го, около 10.00 по Москве, были заменены все индексные страницы моих сайтов на "hacked your system SPYKIDS". По SSH,FTP,Telnet зайти нельзя(циска рубит), поэтому скорее всего сделано было через дыры в скриптах PHP.
Первый раз сталкиваюсь с таким. Что я могу сделать, чтобы проверить систему на наличие оставленных(возможно) вредных скриптов и предотвратить подобное в дальнейшем?FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1
>Вчера 15-го, около 10.00 по Москве, были заменены все индексные страницы моих
>сайтов на "hacked your system SPYKIDS". По SSH,FTP,Telnet зайти нельзя(циска рубит),
>поэтому скорее всего сделано было через дыры в скриптах PHP.
>Первый раз сталкиваюсь с таким. Что я могу сделать, чтобы проверить систему
>на наличие оставленных(возможно) вредных скриптов и предотвратить подобное в дальнейшем?
>
>FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1Прогнать сайт через xspider.
А что это за тулза такая? Я ее в портах не вижу! :(
>А что это за тулза такая? Я ее в портах не вижу!
>:(Она под винду. Сканер безопасности. Ищется в гугле.
Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю в чем разница между демо и обычной версией.
>Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю
>в чем разница между демо и обычной версией.
Требуй консоль. Xspider может ничего и не найти, если у тебя стоит самопал. Иди новая бага. Из портов можешь поставить nessus.
Тебе все равно надо логи почитать и пройтись по фс. Если это виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий каталог. и его надо пройтись по полной.
>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит
>самопал. Иди новая бага. Из портов можешь поставить nessus.
>Тебе все равно надо логи почитать и пройтись по фс. Если это
>виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий
>каталог. и его надо пройтись по полной.Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи, конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www, значит все же PHP. Судя по тому, что для служебных сайтов не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости в PHP.
XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции". Жаль, что демка, можно было бы увидеть, что именно за скрипты имею такую уязвимость.
Кроме всего прочего, у меня сайты "register_globals on" используют.
>>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит
>>самопал. Иди новая бага. Из портов можешь поставить nessus.
>>Тебе все равно надо логи почитать и пройтись по фс. Если это
>>виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий
>>каталог. и его надо пройтись по полной.
>
>Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи,
>конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www,
>значит все же PHP. Судя по тому, что для служебных сайтов
>не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости
>в PHP.
>XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции".
>Жаль, что демка, можно было бы увидеть, что именно за скрипты
>имею такую уязвимость.
>Кроме всего прочего, у меня сайты "register_globals on" используют.
Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают.
>Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают.Хорошо, спасибо, большое. Надеюсь справлюсь :)
Не подскажете, как с ней работать? Делаюnessusd.sh start,
он догружает плагины, говорит:
Starting nessusd.
All plugins loadedА в процессах глухо :( pid не создается.
core# core# ps -aux | grep nessusd
root 11084 0.0 0.1 1420 768 p1 RL+ 4:51PM 0:00.00 grep nessusd
core# ps -aux | grep nessus
root 11090 0.0 0.1 1436 784 p1 RL+ 4:51PM 0:00.00 grep nessus
>Не подскажете, как с ней работать? Делаю
>
>nessusd.sh start,
>
>он догружает плагины, говорит:
>
>Starting nessusd.
>All plugins loaded
>
>А в процессах глухо :( pid не создается.
>
>core# core# ps -aux | grep nessusd
>root 11084 0.0 0.1 1420 768
> p1 RL+ 4:51PM 0:00.00 grep
>nessusd
>core# ps -aux | grep nessus
>root 11090 0.0 0.1 1436 784
> p1 RL+ 4:51PM 0:00.00 grep
>nessusДа нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу nessus и загружаете консоль. Потом тихо себе идете пить чай, когда оно начнет сканить.
>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу
>nessus и загружаете консоль. Потом тихо себе идете пить чай, когда
>оно начнет сканить.Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер где уязвимости ищем или любой в сети? Что значит "прописать себя в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого нет, а формат его я не знаю, чтобы написать самому.
Я вот только начал читать доку с nessus.org, но вот эти моменты мне как раз не понятны.
>>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу
>>nessus и загружаете консоль. Потом тихо себе идете пить чай, когда
>>оно начнет сканить.
>
>Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер
>где уязвимости ищем или любой в сети? Что значит "прописать себя
>в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого
>нет, а формат его я не знаю, чтобы написать самому.
>Я вот только начал читать доку с nessus.org, но вот эти моменты
>мне как раз не понятны.
nessus-adduser
ПРЕЖДЕ ВСЕГО поискать строку "hacked your system SPYKIDS" в Яндексе и Гугле!
http://www.yandex.ru/yandsearch?stype=www&nl=0&text=hacked+y...Получить результат:
http://www.phpbbhacks.ru/community/topic10734.htmlЧитать.
Искать дальше.
Читать.Вопрос на будущее ставить так: "У меня phpBB. Опять хакнули. Что поправить?"
Прежде чем строить из себя умного и пытаться давать уроки, обратите внимание, что я описал свою систему(FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1). Если бы у меня стоял phpbb, я поставил бы вопрос именно так.
И урок номер два, для вас лично:
Если отрезать от моего mail(psa@pac.ru) имя домена, и посмотреть, что представляет собой мой сайт, озарение придет к тебе само собой.