Народ!
Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
В каталог /tmp закачивают irc сервак (psybnc) и запускают его.
Если кто-то сталкивался с такой проблемой отзовитесь!!!
Особенно те кто ее решил.
В двух словах как это происхоит:
Ломание начианется с запроса
HEAD / HTTP/1.1
Host: blalalalalalala.comЗатем идет сария запросов по 177 байт их 10 штук
POST /index.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://blalalalalalaa.com/index.html
Accept-Language: de,en-us;q=0.5
Content-Type: multipart/form-data; boundary=-------------------------76931fac9dab2
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: blalalalalala.com
Content-Length: 177
Connection: Keep-Alive
Cache-Control: no-cache---------------------------76931fac9dab2
Content-Disposition: form-data; name="a" filename="b"
Content-Type:После чего идет видимо решающий запрос:
POST /index.php HTTP/1.1M
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*M
Referer: http://blalalalalalala.com/index.phpM
Accept-Language: de,en-us;q=0.5M
Content-Type: multipart/form-data; boundary=hUM
Accept-Encoding: gzip, deflateM
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)M
Host: blalaalalalalalaaa.comM
Content-Length: ?????M
Connection: Keep-AliveM
Cache-Control: no-cacheM
И тут много мусораСерия запросов по 10 и последний как бы решающий
повторяется произвольное количество раз так как не всегда
получается взломать с первого раза.
Видимо идет какой-то подбор.Братья! Помогите!!!
>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.Какие модули используются в apache (с версиями) ?
Саоме вероятное:
- Пролом через типовой CGI скрипт, судя по запросу index.php пооже что сломали какой то типовой php поект, index.php писали сами ? Если нет, но нужно абгрейдить используемые скрипты.
- Пролом через mod_ssl, нужно проабгрейдить OpenSSL на машине.
- Серез старый mod_php.
>>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.а под каким юзером работает apache?
ты это, поставь файрволл на сервак, например, AtGuard, не важно какая версия апача, без файрволла не спастись