 Прошу совета по защите сервера,  RedLemur, 03-Апр-09, 20:14 [смотреть все]Ситуация такая:
Сайт, находящийся на шаре-хостинге был взломан. (реально были несколько дыр в форуме и т.п.)
Дыры я позакрывал, но на сайт по прежнему ежедневно заходит взломщик и вставляет в разные php-файлы свой кусок JS-кода.
Происходит это так. На сайте появляется маленький файл с одной лишь строчкой кода - формой загрузки файла и обработкой этой загрузки. Затем, через эту форму заливается шелл. И через него уже взломщик делает свои дела, после чего все свои файлы (шелл и первоначальный загрузчик) удаляет.
Самое главное, что в логах апача присутствует вся информация, начиная с того, как он загружал шелл и далее... А вот то, как он ежедневно загружает свой маленький загрузчик, информации нет :(
P.S. в ftp-логах тоже нет ничего...Помогите, пожалуйста. Дайте совет, как залогировать тот момент, откуда появляется этот файл? Голову себе уже сломал :(
|
- Прошу совета по защите сервера, angra, 01:00 , 04-Апр-09 (1)
>Дыры я позакрывал, но на сайт по прежнему ежедневно заходит взломщик и вставляет в разные php-файлы свой кусок JS-кодаЭто называется позакрывал? Если не работает простейшая логика, то страшно представить как вы там программите.
На вашем сайте какая-либо возможность upload есть? Ну вот отключите ее и посмотрите на результат. Также стоит попробовать запретить запись веб-серверу в директории сайта, например при помощи рекурсивных chown/chmod.
Наиболее частая ошибка пыхобыдлокодеров возможность upload при котором пользователь сам задает имя файла.
- Прошу совета по защите сервера, RedLemur, 11:29 , 04-Апр-09 (2)
>Это называется позакрывал? Хорошо, перефразирую. Те дыры, через которые неделю назад ко мне вломились на сайт, я нашел в логах апача и закрыл. >Если не работает простейшая логика, то страшно представить как вы там программите. Вы эмоции свои поберегите для других случаев :) Если страшно что-то представить, - перестаньте фантазировать о том, чего вы не знаете и лучше делом каким-нибудь полезным займитесь... >На вашем сайте какая-либо возможность upload есть? Есть. Юзеры грузят свои картинки, прайс-листы... >Ну вот отключите ее и посмотрите на результат. Да, пробовал вообще отключить весь аплоад. Не помогло. Кроме того, вражеский файл появляется в корне сайта, а не в папках, отведенных для пользовательского аплоада. :( >Также стоит попробовать запретить запись веб-серверу в директории сайта, например при помощи рекурсивных chown/chmod. Да, я эту меру оставляю на последний случай. Дело в том, что я реально заинтригован, как чел пролазит ко мне. А если я закрою директории на запись, я уже никогда об этом не узнаю. :) Я бы хотел залогировать его проникновение, и только потом закрыть! >Наиболее частая ошибка пыхобыдлокодеров возможность upload при котором пользователь сам задает имя файла. Я переименовываю клиентские файлы, но не из соображений безопасности, а из соображений удобства использования. А так мне все равно, будет называться файл picture_1234.gif или my_super_logo.gif :)
- Прошу совета по защите сервера, Eugene_S, 21:38 , 04-Апр-09 (3)
- Прошу совета по защите сервера, RedLemur, 14:36 , 05-Апр-09 (4)
>cron проверьте. Пошел, вообще закомментировал все задания в кронтабе. :) Жду...
- Прошу совета по защите сервера, Pahanivo, 10:29 , 06-Апр-09 (5)
>>cron проверьте.
>
>Пошел, вообще закомментировал все задания в кронтабе. :) Жду... мне еще страшно представить как вы настраиваете (читай админите) .... ЗЫ развелось горе-веб-девелоперов ... как страшно жить ...
- Прошу совета по защите сервера, RedLemur, 14:09 , 06-Апр-09 (6)
>
>мне еще страшно представить как вы настраиваете (читай админите) ....
>
>ЗЫ развелось горе-веб-девелоперов ... как страшно жить ... :) за-то теперь, каждый может самоутвердиться, написав свое мнение в разные форумы! Десятерым написал, что они ничего не понимают, и вроде как, сам почувствовал себя умнее :)
Знакома такая категория людей...
По теме-то есть что сказать? ...так я и думал :)))
- Прошу совета по защите сервера, Eugene_S, 18:23 , 06-Апр-09 (7)
Не плохо было бы проверить содержимое скриптов, исполняемых по cron, ведь их можно стартануть и через http, также проверить остальные файлы сайта на предмет изменения.
Ну и ставьте и настраивайте mod_security, есть неплохой ресурс:
http://www.gotroot.com/tiki-index.php?page=mod_security+rules но там нужно смотреть,
кое-что лишнее можно выкинуть.
- Прошу совета по защите сервера, RedLemur, 18:52 , 06-Апр-09 (8)
>Не плохо было бы проверить содержимое скриптов, исполняемых по cron, ведь их
>можно стартануть и через http, также проверить остальные файлы сайта на
>предмет изменения. Кронтабовские скрипты, как раз сейчас просматриваю :)
Но дело в том, что через http они не запускались, т.к. в логах апача не остались (не думаю, что злоумышленник стал бы заморачиваться с чисткой апачевских логов) >Ну и ставьте и настраивайте mod_security, есть неплохой ресурс:
>http://www.gotroot.com/tiki-index.php?page=mod_security+rules но там нужно смотреть,
>кое-что лишнее можно выкинуть. На счет mod_security - я уже посылал просьбу к хостерам. На нее они ответили, что наш тарифный план не подразумевает установку доп. модулей :( Думаю, вот самому организовать подробное логирование, т.е. все POST-запросы что идут на вход, через htaccess редиректить на скрипт логирующий поле=значение, а потом возвращать пользоватею то, что он запросил... Пока не получатеся сделать прозрачно для пользователя ;)
|
Версия для распечатки
